estÁndares para proveedores de c - citigroup.com · 10 continuidad de negocios ... una infracción...

$: ESTÁNDARES PARA PROVEEDORES DE C - citigroup.com · 10 CONTINUIDAD DE NEGOCIOS ... una infracción sustancial ... La misión de Citi es actuar como un socio confiable para sus Clientes$
PARA USO INTERNO DE CITI © 2017 CITIGROUP INC.

ESTÁNDARES PARA PROVEEDORES DE CITI

DUEÑO: DIRECTOR GLOBAL DE LA CADENA EMPRESARIAL DE SUMINISTROS

FECHA DE EMISIÓN:

ENERO DE 2015

REVISADO: 5 DE MAYO DE 2017

VERSIÓN:

2.0

PARA USO INTERNO DE CITI © 2017 CITIGROUP INC.

ÍNDICE

1 RESUMEN GENERAL .................................................................................... 1

2 PRINCIPIOS BÁSICOS, POLÍTICA ANTISOBORNO Y CONDUCTA ÉTICA DE CITI ........................................................................................................ 4

3 ACCESIBILIDAD Y DIVERSIDAD ................................................................ 19

4 RELACIÓN CON LOS PROVEEDORES Y CUMPLIMIENTO DE CONTRATOS ....................................................................................................... 20

5 GASTOS ....................................................................................................... 23

6 REGALOS Y ENTRETENIMIENTO .............................................................. 30

7 GESTIÓN DE REGISTROS .......................................................................... 31

8 PAUTAS PARA UN LUGAR DE TRABAJO SEGURO................................ 32

9 SEGURIDAD DE LA INFORMACIÓN (IS) ................................................... 33

10 CONTINUIDAD DE NEGOCIOS ................................................................... 53

11 ESTÁNDARES DE GESTIÓN DE QUEJAS/INQUIETUDES GLOBALES ..... 56

12 ESTÁNDARES GLOBALES DE INVESTIGACIÓN DE ANTECEDENTES .... 59

APÉNDICE A: DEFINICIONES ............................................................................ 66

ESTÁNDARES PARA PROVEEDORES DE CITI RESUMEN GENERAL PÁGINA 1 DE -2

1 RESUMEN GENERAL

1.1 PROPÓSITO

El propósito de los Estándares para Proveedores de Citi (“Estándares”) es facilitar el cumplimiento por parte de los Proveedores de los requisitos contractuales y asegurar que estos cumplan con las obligaciones de la política de Citi en el curso de sus operaciones con Citi.

a. El incumplimiento de los Estándares establecidos en este documento, otras políticas de Citi, el Código de Conducta de Citi y/o las políticas y los procedimientos aplicables a la entidad legal y comercial de Citi a la que el Proveedor suministra productos y/o servicios, puede traer como consecuencia una infracción sustancial (y, por consiguiente, conducir a la rescisión con causa) del contrato entre el Proveedor y Citi, incluidos todos los acuerdos relacionados y/u otras consecuencias contractuales. Asimismo, las violaciones a los Estándares también pueden constituir violaciones a la ley aplicable y derivar en el pago de daños y perjuicios a Citi (o a terceros) por responsabilidad civil o en sanciones penales para el Proveedor.

b. Estos Estándares ofrecen un resumen general de los requisitos de la política de Citi con la cual los Proveedores deben cumplir. Este documento no tiene como fin enumerar de modo exhaustivo todos los estándares y sus requisitos. Cada entidad legal y comercial de Citi también puede indicar, en el documento transaccional (licencia u orden de trabajo), políticas y estándares adicionales con los cuales los Proveedores deben cumplir. Los bancos, corredores/agentes y otras entidades con licencia de Citi están sujetos a requisitos y limitaciones específicos según la naturaleza de las actividades reguladas que llevan a cabo. Estos requisitos y limitaciones se reflejan en las políticas específicas del negocio, incluidas todas las políticas aplicables a los Proveedores de tales entidades. En el caso que las políticas específicas de dichas entidades difieran de estos Estándares con respecto a un mismo tema, prevalecerá la política más restrictiva en orden de interpretación. Es responsabilidad del Proveedor familiarizarse y cumplir con todos los procedimientos y políticas complementarias de Citi acordados entre el Proveedor y la entidad legal y comercial de Citi en relación con los productos y servicios suministrados a dicho negocio o entidad.

c. Los Proveedores deben adoptar una actitud proactiva y realizar cualquier pregunta que tengan sobre las políticas de Citi a su principal contacto comercial en Citi para garantizar el cumplimiento de las actuales políticas de Citi o cualquier cambio que de ellas se notifique.

d. Si un Proveedor tiene motivos para creer que un empleado de Citi o cualquier otra persona que trabaje en nombre de Citi puede haberse involucrado en una conducta dolosa real o posible, incluido el incumplimiento de los Estándares establecidos en este documento, otras políticas de Citi, el Código de Conducta de Citi y/o las políticas y procedimientos aplicables a la entidad legal y comercial de Citi a la que el Proveedor suministra productos y/o servicios, el Proveedor debe denunciar de inmediato dichas inquietudes a su principal contacto comercial en Citi y/o a cualquiera de los contactos indicados en el Código de Conducta de Citi.


e. Estos Estándares no tienen como fin invalidar ni obstaculizar las prácticas o los procedimientos que un Proveedor pueda tener y que complementen los requisitos establecidos en el presente, siempre y cuando dichas prácticas y procedimientos no estén en conflicto con los requisitos de estos Estándares. Si el Proveedor tiene una política o procedimiento relacionado que es más estricto o riguroso que los requisitos de las políticas de Citi, el Proveedor podrá cumplir con los términos más estrictos de su política, siempre y cuando mantenga plena conformidad con estos Estándares en todo momento.

f. En caso que las políticas del Proveedor contemplen un requisito de estos Estándares de modo alternativo, pero que la gerencia del Proveedor garantice que es equivalente en su esencia y/o función a los requisitos de estos Estándares, el Proveedor deberá enviar un aviso por escrito a Citi con su solicitud para cumplir con los requisitos de su propia política. El Proveedor acepta cooperar con la gerencia de Citi para evacuar todas las dudas o inquietudes que Citi pueda tener sobre el enfoque alternativo del Proveedor, y trabajará de buena fe con Citi para asegurar el cumplimiento de los requisitos regulatorios y de la industria aplicables a Citi. En el caso de que, a criterio de Citi, las políticas o prácticas del Proveedor no cumplan, en lo más mínimo, con estos Estándares o con cualquier otra política relevante de Citi, el Proveedor deberá tomar todas las medidas necesarias para asegurar el cumplimiento de estos Estándares y de las otras políticas relevantes de Citi.

g. Si las leyes o reglamentaciones locales establecen requisitos más estrictos que los estipulados en el presente, los Proveedores deberán cumplir con dichas leyes y reglamentaciones. Si las leyes o reglamentaciones locales parecen estar en conflicto con estos Estándares, el Proveedor afectado deberá informarlo a su principal contacto comercial en Citi y trabajar de buena fe con Citi para llegar a una resolución de mutuo acuerdo que asegure el cumplimiento de las leyes o reglamentaciones relevantes y, en la medida de lo posible, de estos Estándares.

h. La aplicabilidad de estos Estándares se sumará, sin reemplazar, a todas las otras obligaciones, convenios o garantías que los Proveedores hayan asumido con Citi en virtud de un Contrato o en derecho o equidad, y todos los derechos y recursos de Citi establecidos en el presente se sumarán, sin reemplazar, a todos los otros derechos o recursos contractuales, legales o en equidad que Citi pueda tener en relación con cualquier Proveedor u otro tercero.

i. Citi podrá modificar, enmendar o revisar estos Estándares en cualquier momento y a su exclusivo criterio, lo cual se notificará a los Proveedores. Si los cambios son sustanciales, los Proveedores deberán notificar a Citi si están en desacuerdo con ellos o si no pueden respetarlos y siempre deberán tener en cuenta que las modificaciones pueden deberse a cambios en la ley aplicable o la actividad regulatoria, o bien, ser exigidos por un contrato; asimismo, dichos cambios deben aceptarse para poder concretar la adquisición de productos o servicios, o la continuación de los servicios existentes.

j. Estos Estándares se encuentran publicados en Citigroup.com:


https://policydirectory.citi.net/cpd/_layouts/15/DocIdRedir.aspx?ID=CPDPROD-13-6184

El Código de Conducta de Citi se encuentra publicado en Citigroup.com: http://www.citigroup.com/citi/investor/corporate_governance.html (en la sección Citi Policies [Políticas de Citi]).

1.2 Partes sujetas a los Estándares

Estos Estándares se aplican a todos los Proveedores, definidos como aquellos terceros, junto con sus empleados, agentes o representantes, que suministren productos o servicios a Citigroup Inc. o a cualquiera de sus Afiliadas, incluidas sus subsidiarias, (denominadas en el presente, de manera conjunta o individual, como “Citi” o la “Compañía”), pero únicamente en relación con sus actividades como Proveedores.

Además, los Proveedores garantizan que tanto ellos como todos los subcontratistas: (a) que contraten en relación con la prestación de Servicios del Proveedor para Citi o (b) con los que compartan Información confidencial de Citi (o el eventual acceso a Información confidencial de Citi) cumplirán con todos los términos de estos Estándares y todas las demás políticas y procedimientos de Citi que puedan aplicarse (y procurarán que sus subcontratistas también los cumplan). Toda referencia específica a subcontratistas, o a términos relacionados con subcontratistas en estos Estándares (o toda referencia específica o término relacionado con las obligaciones de los Proveedores con respecto a dichos subcontratistas) solo tiene carácter de énfasis y no limita las obligaciones de los Proveedores de asegurar el cumplimiento de los subcontratistas con todas y cada una de las demás obligaciones de los Proveedores en virtud de estos Estándares.



http://www.citigroup.com/citi/investor/corporate_governance.html

ESTÁNDARES PARA PROVEEDORES DE CITI PRINCIPIOS BÁSICOS, POLÍTICA ANTISOBORNO Y CONDUCTA ÉTICA DE CITI PÁGINA 4 DE -2

2 PRINCIPIOS BÁSICOS, POLÍTICA ANTISOBORNO Y CONDUCTA ÉTICA DE

CITI

Citi ha adoptado ciertos marcos (como el del Comité de Organizaciones Patrocinadoras de la Comisión Treadway [Committee of Sponsoring Organizations of the Treadway Commission, COSO] 2013) y pautas (por ejemplo, la Declaración de Principios de los Proveedores de Citi, los Estándares para Proveedores de Citi) que brindan un marco de gestión del riesgo operativo, lo cual requiere que los Terceros promuevan la responsabilidad social, las prácticas comerciales éticas, los derechos humanos en el lugar de trabajo y la sostenibilidad ambiental. En los EE. UU. y otros países, si corresponde, Citi fomenta la contratación de Terceros diversos y se compromete a ayudar a dichos Terceros en su crecimiento y desarrollo a largo plazo. Todos los Proveedores de Citi deben evitar situaciones en las que los intereses personales puedan estar en conflicto o aparentar estar en conflicto con los intereses de Citi o sus Clientes. Todos los Proveedores de Citi siempre deben demostrar compromiso con los más altos principios éticos y de conducta profesional, además de observar las leyes y reglamentaciones aplicables. En el sitio web de Declaración de los Principios de los Proveedores de Citi, se puede encontrar más información sobre dicha declaración.

2.1 Misión y propuesta de valor

La misión de Citi es actuar como un socio confiable para sus Clientes al prestar servicios financieros de manera responsable que permitan el crecimiento y progreso económico, a la vez que cumple constantemente con los más altos estándares éticos para ganar y mantener la confianza del público. En virtud de su misión y propuesta de valor, Citi les solicita a sus empleados asegurarse de que las decisiones que tomen superen tres pruebas: que concuerden con los intereses de nuestros Clientes, que generen valor económico y que sean sistemáticamente responsables. Citi espera que las decisiones de los Proveedores con respecto a los servicios y productos que suministran a Citi también superen estas pruebas.

2.2 Trato justo

Citi ha asumido el compromiso de mantener un trato justo con sus Clientes, Proveedores, competidores y empleados. También ha asumido el compromiso de ofrecer equidad en el acceso al crédito y la toma de decisiones crediticias basadas en criterios objetivos. Además, Citi observa las leyes y reglamentaciones de un número cada vez mayor de países en materia de “equidad en los préstamos” o “equidad en el acceso” que prohíben específicamente la discriminación de Clientes reales o potenciales por motivos de raza, sexo, religión u otros factores no relacionados con el riesgo. Ningún Proveedor que actúe en nombre de Citi podrá sacar o intentar sacar ventaja de manera desleal de otra persona mediante la manipulación, el ocultamiento, el uso o uso indebido de Información confidencial, la tergiversación de información relevante u otras prácticas o relaciones desleales.

http://www.citigroup.com/citi/procurement/supplierprinciples.htm

http://www.citigroup.com/citi/procurement/supplierprinciples.htm

http://www.citigroup.com/citi/suppliers/supplierprinciples.htm

http://www.citigroup.com/citi/suppliers/supplierprinciples.htm


2.3 Riesgo de cumplimiento y conducta

Guiado por su misión y propuesta de valor y por el principio de Finanzas Responsables -una conducta transparente, prudente y confiable-, Citi busca generar e incorporar una cultura de riesgo empresarial para minimizar, mitigar y gestionar el riesgo de cumplimiento y conducta. El riesgo de cumplimiento es el riesgo que surge de las violaciones de leyes, normas o reglamentaciones transfronterizas, nacionales o locales, de políticas y procedimientos internos de Citi o de estándares éticos relevantes, o la falta de conformidad con respecto a estos. Para Citi, “riesgo de conducta” (que se articula en su Política de Riesgo de Conducta) es el riesgo que la conducta de los empleados o agentes de Citi, incluidos los Proveedores, pueda causar daños, -de manera intencional o por negligencia-, a los consumidores, los Clientes o la integridad de los mercados y, por lo tanto, a la integridad de la empresa. Los Proveedores deben tener precaución y ejercer su mejor juicio en todos los aspectos de su trabajo para minimizar, mitigar y gestionar el riesgo de cumplimiento y conducta.

2.4 Comunicación de inquietudes relacionadas con los negocios

En todas las acciones y aspectos de su trabajo, los Proveedores deben hacer uso del buen criterio y el sentido común para evaluar el posible impacto de las transacciones realizadas en nombre de Citi. Los Proveedores deben contactar de inmediato a su respectivo contacto comercial en Citi o al ejecutivo sénior de operaciones nacionales de Citi cualquier inquietud relacionada con posibles problemas de riesgo sistémico, para la franquicia o para la reputación, y dichas personas pueden, a la vez, comunicarla al Comité de Prácticas de Negocio comercial o regional correspondiente.

2.5 Libertad y equidad en el mercado

Citi no tolerará ningún intento por parte de un Proveedor de manipular o sabotear los mercados o los precios de títulos valores, opciones, futuros u otros instrumentos financieros.

2.6 Protección de los activos de Citi

Los Proveedores tienen la obligación de proteger los activos tangibles e intangibles de Citi y de sus Clientes. Los activos de Citi y sus Clientes solo pueden usarse para fines aprobados y de un modo que esté aprobado (es decir, de acuerdo con las licencias, términos y condiciones aplicables), y únicamente en relación con los objetivos comerciales de Citi y sus Afiliadas. Los activos incluyen dinero en efectivo, títulos valores, bienes físicos, servicios, planes de negocios, Información de Citi, información de proveedores, información de distribuidores, propiedad intelectual (programas informáticos, modelos y otros elementos), y toda otra Información confidencial, personal y de propiedad exclusiva.

La malversación o la divulgación no autorizada de activos de Citi es un incumplimiento de las obligaciones para con Citi y puede constituir un acto de fraude contra esta. De modo similar, la falta de cuidado, el despilfarro o el uso no autorizado en relación con activos de Citi también constituyen un incumplimiento de las obligaciones para con esta. Consulte las Pautas para un lugar de trabajo seguro en la Sección 8 de estos Estándares.


2.7 Antisoborno y anticorrupción

Citi cuenta con políticas, procedimientos y controles internos para cumplir con las leyes antisoborno y anticorrupción, y prohíbe cualquier pago indebido, promesa de pago, oferta de empleo o entrega indebida de algo de valor, de manera directa o indirecta, (i) en cualquier país o territorio, a cualquier persona que sea empleado de un órgano público o que preste servicios en representación de un órgano público, independientemente de que ocupe un cargo legislativo, administrativo, judicial, ejecutivo o militar (por designación o elección), e independientemente de que sea extranjero o nacional, o bien, que ejerza una función pública en cualquiera de dichas jurisdicciones, órganos públicos o empresas públicas (incluidos los funcionarios, oficiales, empleados o agentes de cualquier gobierno, entidades pertenecientes al gobierno o controladas por este u organismos públicos internacionales, o personas que actúen en carácter oficial para cualquier entidad gubernamental o en nombre de esta) de cualquier país o territorio, o (ii) a cualquier partido político, funcionario de un partido o candidato para un cargo público, denominados en conjunto “Funcionarios de gobierno”, o a cualquier otra persona con el propósito de obtener o retener un negocio o de ejercer influencia sobre un acto oficial.

La Política Antisoborno y Anticorrupción de Citi o (Anti-Bribery & Corruption Policy) o “Política AB&C” requiere el cumplimiento con la ley aplicable1 y prohíbe terminantemente cualquier tipo de soborno en todos los países donde opera. Se espera que todos los Proveedores de Citi lleven a cabo sus actividades relacionadas con negocios y operaciones de Citi de acuerdo con las normas más estrictas de conducta comercial, las cuales incluyen el cumplimiento de todas las leyes aplicables que prohíben el soborno, la corrupción, el fraude y las declaraciones falsas, o incluso dar la apariencia de mala conducta o irregularidad. La Política AB&C de Citi prohíbe realizar pagos de facilitación de cualquier tipo. Los Proveedores deben asegurarse de implementar las políticas y los procedimientos correspondientes para cumplir con todas las leyes aplicables.

Bajo ninguna circunstancia, un Proveedor o un miembro de su Personal podrá ofrecer, prometer o entregar, aceptar o solicitar algo de valor (incluida cualquier ventaja económica o de otro tipo, como regalos, entretenimiento, contribuciones políticas o de beneficencia, o empleo) a un Funcionario de gobierno o cualquier

1 En esta sección se entiende por "ley aplicable", cualquier ley contra el soborno, el fraude, el pago de sobornos u otra ley o reglamentación similar contra la corrupción de cualquier país relevante, incluidas las leyes locales antisoborno y anticorrupción, y aquellas que tienen alcance extraterritorial, como la Ley Antisoborno del Reino Unido (UK Bribery Act) de 2010 y la Ley de Prácticas Corruptas en el Extranjero de los EE. UU. (Foreign Corrupt Practices Act) de 1977.


otra persona, o bien, de ellos, en nombre de Citi, de manera directa o indirecta a través de un tercero (por ejemplo, un familiar, intermediario o agente, o una organización) con el fin de obtener una ventaja indebida, y/o ejercer influencia sobre el receptor para que realice o se abstenga de realizar un acto oficial u obtener o retener un negocio para Citi. El Proveedor no podrá realizar pagos de facilitación o “aceleración” de ningún tipo.

Para una descripción general del Programa Antisoborno y Anticorrupción de Citi, visite http://www.citigroup.com/citi/investor/corporate_governance.html (en la sección Citi Policies, seleccione Anti-Bribery & Corruption Program).

2.8 Cumplimiento contra el lavado de dinero (“AML”)

El lavado de dinero es el proceso de convertir ganancias ilegales en fondos aparentemente legítimos para que ingresen en el flujo de comercio. Esta práctica no se limita a las transacciones en efectivo, sino que puede incluir instrumentos monetarios y otras ganancias procedentes de actividades ilícitas. El financiamiento del terrorismo comprende la financiación de actos terroristas y organizaciones terroristas. El financiamiento del terrorismo puede implicar ganancias provenientes de Fuentes tanto legítimas como ilegítimas.

Los Proveedores deben actuar con diligencia para impedir que los productos y servicios de Citi se utilicen para fomentar el lavado de dinero y el financiamiento del terrorismo, y detectar actividades sospechosas de acuerdo con las leyes y reglamentaciones relevantes. Citi se adhiere a los principios internacionales de la industria contra el lavado de dinero (Anti-Money Laundering, AML), que promueven la función que pueden y deben cumplir las instituciones financieras para prevenir el lavado de dinero y el financiamiento del terrorismo. Citi ha asumido el compromiso de luchar contra el lavado de dinero, el financiamiento del terrorismo y otros delitos, en todos los alcances que permita la ley.

Citi exige a todos sus negocios implementar procedimientos para vigilar las actividades sospechosas relacionadas con cuentas y transacciones, de modo tal que, cuando se requiera, puedan ser informadas a las correspondientes autoridades gubernamentales o reguladoras. Todos los Proveedores, incluidos aquellos que ofrecen productos o servicios, como transacciones financieras, a clientes en nombre de Citi o aquellos que usan la marca Citi, deben contar con un programa AML que sea congruente con el nivel de riesgo asociado a los servicios y productos que suministran a Citi y que esté a disposición de Citi para su revisión y/o auditoría.

Los Proveedores pueden dirigir sus preguntas sobre AML y procedimientos para reportarlo a su principal contacto comercial en Citi.

2.9 Política contra la esclavitud y el tráfico de personas

Citi se compromete a implementar sistemas y controles que apunten a garantizar que no tengan lugar hechos de esclavitud y tráfico de personas en ningún lugar dentro de su organización ni en cualquiera de sus cadenas de suministro. Se espera que todos los Proveedores de Citi cumplan con los principios establecidos a continuación con respecto a esto. Evasión del trabajo infantil: no se debe emplear fuerza laboral infantil. El término “infantil” hace referencia a cualquier persona menor de 15 años (o de 14 años, si

http://www.citigroup.com/citi/investor/corporate_governance.html


la ley del país lo permite) o menor a la edad requerida para finalizar el período de educación obligatoria, o bien, menor a la edad mínima de empleo en el país determinado, cualquiera que sea más alta. Sujeto a la prohibición de anulación respecto de la contratación de fuerza laboral infantil, si se emplea a trabajadores menores de 18 años, se debe considerar particularmente qué tareas llevarán a cabo y las condiciones en las que se requiere que trabajen para garantizar que no sufran daños físicos, mentales ni de otro tipo como resultado directo o indirecto del trabajo o las condiciones laborales. Empleo de libre elección: no se debe obligar, coaccionar mental o físicamente, vincular, forzar por contrato ni someter a los trabajadores a realizar trabajo involuntario en prisión o ser esclavos, a ser traficados ni a llevar a cabo labores obligatorias de ningún tipo, incluso trabajar horas extras forzosas. Todo trabajo debe llevarse a cabo de forma voluntaria. Los principios establecidos a continuación brindan mayor respaldo a este compromiso. Los trabajadores deben tener el derecho de rescindir la relación laboral con libertad, según corresponda tras un período razonable de aviso, de acuerdo con las leyes y los acuerdos colectivos aplicables, sin que se les impongan sanciones inadecuadas. No se debe confiscar ni retener los documentos de identidad ni los permisos de viaje, pasaportes u otros documentos oficiales o elementos de valor de los trabajadores como condición de empleo. La retención de propiedad no debe usarse, de forma directa o indirecta, para restringir la libertad de los trabajadores ni para generar esclavitud en el lugar de trabajo. No deben cobrarse a los trabajadores los cargos o costos asociados al reclutamiento de trabajadores (incluidos, entre otras cosas, los cargos relacionados con visas de trabajo, costos de viaje y costos de procesamiento de documentos), ya sea de forma directa o indirecta. De la misma manera, no se debe obligar a los trabajadores a realizar pagos con la intención o consecuencia de generar esclavitud en el lugar de trabajo, incluidos pagos del Seguro Social, ni a liquidar deudas a cambio de su trabajo. Los trabajadores deben contar con un documento escrito en el cual se detallen sus términos de empleo o contratación, que les resulte fácil de comprender, y que establezca con claridad sus derechos y obligaciones. Este documento escrito debe incluir, entre otras cosas, términos transparentes con respecto al salario, el pago de horas extras, los períodos de pago, las horas laborales y los derechos relacionados con los descansos y las vacaciones. Los términos por escrito se deben entregar al trabajador antes de que este comience a trabajar, deben ser aceptados por el empleador, y deben cumplir con los estándares de la industria y los requisitos mínimos de las leyes y los acuerdos colectivos aplicables donde se lleve a cabo el trabajo. Los trabajadores, sus familiares o aquellas personas estrechamente relacionadas con ellos no deben estar sujetos a tratamiento severo o inhumano, incluidos, ente otros, castigos físicos; violencia física, psicológica o sexual; o coerción, abuso verbal, acoso o intimidación. Los trabajadores inmigrantes, sus familiares o las


personas estrechamente relacionadas con ellos no deben estar sujetos a discriminación debido a su nacionalidad. Los trabajadores deben tener la libertad de presentar reclamos ante sus empleadores respecto al trato que dicho empleador les otorga y no deben sufrir perjuicios, represalias ni castigos por presentarlas. Los trabajadores deben tener la libertad de realizar movimientos sin restricciones irracionales y no deben estar confinados físicamente al lugar de trabajo ni a otros establecimientos controlados por el empleador (por ejemplo, bloques de alojamiento). A los trabajadores no se les debe imponer el requisito de ocupar instalaciones controladas por el empleador, excepto en caso de que esto resulte necesario debido a la ubicación o la naturaleza del trabajo que desempeñan. Si resulta necesario reclutar a trabajadores contratados por un tercero, como una agencia de empleo, solo se debe recurrir a agencias de empleo respetables. En caso de que los trabajadores sean contratados directamente, solo se debe recurrir a agencias de reclutamiento respetables. Los trabajadores deben tener la libertad de presentar reclamos ante sus empleadores respecto al trato que dicho empleador les otorga y no deben sufrir perjuicios, represalias ni castigos por presentarlas.

2.10 Cumplimiento de sanciones

Citi cuenta con políticas, procedimientos y controles internos para cumplir con las leyes y reglamentaciones de sanciones estadounidenses y no estadounidenses aplicables. La Política Global de Sanciones exige el mantenimiento de procesos y controles para detectar, investigar, derivar y tomar las medidas correspondientes con respecto a los objetivos de sanciones.

Los miembros del Personal del Proveedor que, efectivamente, figuren en una lista de sanciones deben excluirse o desvincularse inmediatamente de la asignación de Citi.

Están estrictamente prohibidas las evasiones reales o los intentos de evasión de las leyes de sanciones locales y de los EE. UU. mediante acción u omisión.

2.11 Antimonopolio y competencia leal

En muchos países, Citi está sujeta a complejas leyes diseñadas para fomentar la competencia entre las empresas y proteger a los consumidores de prácticas y acuerdos comerciales desleales. Los Proveedores tienen la obligación de conocer y cumplir con estas leyes en todo momento. El Proveedor no debe, en ningún momento, involucrarse en conductas relacionadas con la fijación de precios, la monopolización económica, el abuso de una posición dominante ni ninguna otra conducta ilegal. El Proveedor no debe realizar, aceptar ni analizar propuestas que planteen inquietudes de conducta anticompetitiva.

2.12 Acuerdos comerciales vinculantes

Comunicar a un Cliente que el precio o la disponibilidad de un producto o servicio de Citi están sujetos a la aceptación del Cliente de comprar o suministrar a Citi otro producto o servicio (“vinculante”) es ilegal en determinadas circunstancias.


Los Proveedores deben conocer y cumplir con todas las leyes antivinculación y las políticas y procedimientos pertinentes de Citi.

Los Proveedores no podrán otorgar crédito, arrendar o vender bienes de ningún tipo ni suministrar servicios (denominados de forma individual “Producto vinculante”), ni fijar o variar la consideración de cualquiera de los anteriores, en nombre de Citi, con la condición o requisito de que el cliente:

a. Participar en un “acuerdo de vinculación”; es decir, que obtenga otro crédito, bien o servicio del banco o sus afiliadas, a excepción de los relacionados con un Producto tradicional del banco o que generalmente se proveen en relación con dicho producto.

b. Participar en un “acuerdo de reciprocidad”; es decir, que provea otro crédito, bien o servicio al banco o a sus afiliadas, a excepción de los relacionados con un Producto tradicional del banco o que generalmente se proveen en relación con dicho producto.

c. Participar en un “acuerdo de transacciones exclusivas”; es decir, que no obtenga otro crédito, bien o servicio de un competidor del banco o sus afiliadas, a excepción de las condiciones o requisitos que el banco impone, en términos razonables, en una transacción crediticia para asegurar la solvencia del crédito.

2.13 Privacidad y seguridad de la Información de Citi

Citi se compromete a proteger su Información al asegurar que se utilice de plena conformidad con las leyes aplicables y las políticas de Citi, y solo en relación con los negocios de Citi. Los Proveedores deben cumplir con todas las leyes, reglamentaciones, políticas de Citi y Contratos aplicables relevantes en materia de protección, confidencialidad y usos prohibidos de la Información de Citi. Sin perjuicio de lo anterior, los Proveedores deben proteger toda la Información de Citi, asegurando que solo se utilice para fines autorizados, se comparta únicamente con personas autorizadas y se mantenga de manera adecuada y segura. Los Proveedores que tengan acceso a dicha información o a cualquier otra información definida como Información confidencial, Información personal identificable (Personally Identifiable Information, PII) confidencial o Información restringida deberán consultar al Negocio de Citi al que suministran productos o servicios ante cualquier duda en relación con el uso adecuado de la Información de Citi. Consulte las Pautas para un lugar de trabajo seguro en la Sección 8 de estos Estándares.

2.14 Gestión del fraude

Citi tiene una política de cero tolerancia respecto a los fraudes. Citi se reserva el derecho a investigar las sospechas o acusaciones de robo, fraude u otras posibles actividades delictivas o infracciones, y a iniciar demandas por conductas fraudulentas o delictivas en el máximo grado que lo permita la ley. Todos los Proveedores deben implementar y seguir un programa documentado de gestión del fraude diseñado para prevenir y resolver cualquier robo, fraude o posible infracción o actividad delictiva (“Fraude”) en relación con cualquier actividad que el Proveedor realice para o en representación de Citi. Dicho programa debe ser congruente con el riesgo de Fraude asociado a las operaciones que el Proveedor realiza en nombre de Citi y, por lo general, debe incluir la capacitación, detección


y mitigación en relación con cualquier posible Fraude. El Proveedor también debe crear y documentar procedimientos para asegurar el informe y la referencia a tiempo de todo posible evento fraudulento a Citi. Esto incluye, entre otras cosas, los intentos, sospechas, acusaciones o hechos de robo o fraude; la desaparición sospechosa de fondos o títulos valores; y las actividades delictivas o infracciones que involucren a Citi, a empleados de Citi, a Proveedores o agentes de Citi, o a no empleados de Citi (por ejemplo, contratistas y empleados temporales). Los Proveedores deben cooperar con los representantes de Citi en cualquier investigación sobre posibles actividades fraudulentas. Los Proveedores deben asegurarse que todo el Personal reciba capacitación anual de concientización sobre fraudes.

2.15 Continuidad de negocios

Citi mantiene planes de continuidad de negocios para minimizar las pérdidas financieras y responder a las necesidades de los Clientes y del mercado cuando ocurre un desastre, una crisis, una ruptura del servicio o una emergencia. Citi debe estar preparado para responder a cualquier evento que pueda afectar las operaciones comerciales normales. Los Proveedores deben contar con planes de continuidad de negocios adecuados para asegurar que cualquier interrupción relacionada con los productos y servicios que suministran a Citi sea resuelta y corregida dentro de los plazos de recuperación establecidos por Citi. Los Proveedores deben consultar a su principal contacto comercial en Citi para conocer los procedimientos o requisitos de manejo de crisis aplicables a su relación. Consulte Continuidad de negocios en la Sección 10 de estos Estándares.

2.16 Privacidad para la fuerza laboral de Citi

Citi busca proteger la Información confidencial y personal que la Compañía o cualquiera de sus Proveedores recopile, utilice o mantenga sobre sus empleados (ya sean permanentes o temporales, incluidos los contratistas), lo que puede incluir, entre otras cosas, la información médica, información gubernamental (por ejemplo, datos fiscales y de identificación nacional o gubernamental) y la información de verificación de antecedentes. Dicha información no debe transferirse, procesarse, compartirse ni analizarse fuera del ámbito de Citi, excepto cuando las leyes o reglamentaciones correspondientes lo permitan o exijan, o conforme a una orden o citación emitida por un tribunal de una jurisdicción competente, o a solicitud de un órgano legislativo, administrativo, regulador o judicial de una jurisdicción competente. Las políticas y procedimientos sobre privacidad y seguridad de la fuerza laboral contemplan a los empleados de Citi y también a otras personas cuya información sea suministrada a Citi en el contexto de las relaciones laborales.

Los Proveedores deben proteger la Información confidencial y personal que reciban acerca del personal de Citi y no deben transferir, almacenar ni procesar la PII suministrada por Citi, como tampoco acceder a ella, fuera del país en el cual se proporcionó sin el consentimiento previo de Citi. Los Proveedores deben cumplir con todas las políticas y pautas de Citi, además de las leyes y reglamentaciones locales correspondientes, en relación con la seguridad y privacidad de la Información confidencial y personal, y asegurar que dicha información solo sea compartida con personas autorizadas. Solo se podrá


responder a las solicitudes de dicha información en la medida en que lo permitan las leyes, reglamentaciones o políticas aplicables de Citi.

2.17 Política de Igualdad de Oportunidades Laborales y Prácticas de Equidad en el Empleo, Discriminación y Acoso

Citi es un empleador que ofrece igualdad de oportunidades laborales y se ha comprometido a asegurar el pleno cumplimiento de la letra y el espíritu de todas las leyes relacionadas con las prácticas de equidad en el empleo y la no discriminación, y espera que todos sus Proveedores también cumplan debidamente con dichas leyes.

La política de Citi prohíbe todo tipo de discriminación, acoso e intimidación por motivos de raza, sexo, género, identidad o expresión de género, color, credo, religión, origen nacional, nacionalidad, ciudadanía, condición de inmigrante, edad, discapacidad, información genética, estado civil (incluidas las parejas de hecho y las uniones civiles definidas y reconocidas por la ley aplicable), orientación sexual, cultura, ascendencia, situación familiar, condición de militar, condición de veterano, estado socioeconómico, condición de desempleado u otra característica o condición personal protegida por la ley.

Se prohíbe la discriminación, el acoso o la intimidación ilícita o que viole las políticas de Citi, por parte de gerentes, compañeros de trabajo, Clientes, Proveedores o visitantes, o en contra de ellos. También se prohíben las represalias contra personas que presenten quejas por discriminación o acoso. Las quejas relacionadas con este tipo de conductas deben comunicarse a través de la línea directa de ética de Citi o su respectivo contacto comercial principal en Citi.

2.18 Seguridad en el lugar de trabajo

La seguridad en el lugar de trabajo de Citi es una preocupación primordial de la Compañía. Los Proveedores deben cumplir con todas las leyes aplicables y las políticas de Citi en relación con la salud, la seguridad y la protección en el lugar de trabajo. Además, no se tolerarán las amenazas o actos de violencia en el lugar de trabajo, ni el incumplimiento de informar lo anterior.

2.19 Lugar de trabajo libre de drogas

En cualquier lugar de trabajo de Citi y mientras el Personal del Proveedor suministre productos o servicios a Citi, está prohibido el uso indebido de sustancias controladas; la venta, fabricación, distribución, posesión o uso, dentro de las instalaciones del Proveedor o de Citi, de estupefacientes o drogas no recetadas o ilegales en el trabajo, o estar bajo los efectos de estos; o el abuso de estupefacientes o sustancias ilegales o no recetados que disminuyan la capacidad del Personal del Proveedor para desempeñar sus tareas.

2.20 Comunicaciones, equipos, sistemas y servicios

Los equipos, sistemas y servicios de Citi se proveen para fines comerciales de Citi únicamente y para permitir a los Proveedores, cuando tengan la autorización previa de Citi, realizar las tareas relacionadas con los productos y servicios que suministran a Citi. Por consiguiente, y en la medida que lo permitan las leyes y reglamentaciones correspondientes, Citi podrá supervisar y registrar, en cualquier momento, el uso de equipos, sistemas y servicios de Citi por parte del Proveedor.


Los Proveedores deben usar los equipos, sistemas y servicios de Citi únicamente para los fines autorizados. Los Proveedores no podrán usar equipos, sistemas y servicios de Citi, a menos que tengan la autorización previa de la Compañía y, en los casos de recibir dicha autorización, no podrán usar los equipos, sistemas y servicios de Citi para ningún propósito inadecuado o no autorizado, o de un modo tal que viole las leyes y reglamentaciones correspondientes, o las políticas, estándares o pautas de Citi. Sin perjuicio de lo anterior, el uso de servidores de Internet e intranet de Citi debe guardar conformidad con todas las leyes y reglamentaciones aplicables, y con los términos de uso de los sitios de Citi y sitios de terceros a los que se acceda. Los sitios de intranet e Internet no pueden usarse para la descarga no autorizada o el uso de materiales sujetos a derechos de propiedad intelectual o sin licencia. Esto incluye la descarga de música y la descarga no autorizada de software sin licencia y de imágenes, videos o materiales impresos sujetos a derechos de propiedad intelectual. No se podrá acceder a Internet desde un servidor de Citi para ver, descargar, almacenar, transmitir o publicar material ilegal, de hostigamiento, degradante, ofensivo o inapropiado, ni para ningún otro propósito que contradiga las políticas, estándares y pautas de Citi en materia de discriminación y acoso ilegal. Está prohibido copiar, vender, usar o distribuir información, software u otras formas de propiedad intelectual en contravención a las leyes de propiedad intelectual o a los derechos de licencia.

Citi no tolerará el uso de sus comunicaciones, equipos, sistemas y servicios, incluidos los servicios de correo electrónico y/o intranet e Internet, para crear un entorno de trabajo hostil y ofensivo. Los Proveedores jamás deben usar los sistemas de Citi para iniciar, descargar, ver, almacenar, transmitir o intercambiar imágenes o textos electrónicos de naturaleza sexual o que contengan difamaciones étnicas, calificativos raciales o cualquier otro material de hostigamiento, degradante, ofensivo, lascivo o inapropiado.

2.21 Protección de la información personal, interna y de propiedad exclusiva de Citi

a. Mientras suministran productos o servicios a Citi y después de concluir su relación con Citi, los Proveedores tienen la obligación de proteger la información personal, de propiedad exclusiva, interna y confidencial u otra información de nivel superior que obtengan o generen en relación con sus actividades para Citi, independientemente de su forma. Los Proveedores no podrán traer a Citi información confidencial, de propiedad exclusiva y de nivel superior de ningún exempleador o excliente, ni usar dicha información para asistir en los negocios de Citi, sin el consentimiento previo del exempleador o excliente, excepto en la medida en que lo permitan las leyes o reglamentaciones.

b. Los Proveedores adoptarán, mantendrán y seguirán prácticas y procedimientos de seguridad que sean adecuados para proteger la información personal, interna y de propiedad exclusiva de Citi o de sus Clientes, empleados, Proveedores o distribuidores, independientemente de su forma, contra cualquier (i) divulgación, acceso, uso o modificación no autorizados; (ii) apropiación indebida, robo, destrucción o pérdida; o (iii) incapacidad para dar cuenta de dicha información.


c. Los Proveedores podrán divulgar, usar o reproducir Información de Citi solo en la medida en que se requiera y que se relacione (y solo cuando sea necesario) con el cumplimiento de sus obligaciones relativas al suministro de productos y/o servicios a Citi. Los Proveedores no podrán usar la Información de Citi ni permitir que la Información de Citi sea usada para otros propósitos. La Información de Citi no debe compartirse ni analizarse fuera del ámbito de Citi, excepto cuando las leyes o reglamentaciones aplicables lo exijan o cuando Citi lo permita expresamente, o conforme a una orden o citación emitida por un tribunal de una jurisdicción competente o a solicitud de un órgano legislativo, administrativo o judicial de una jurisdicción competente. A menos que la ley estipule lo contrario, los Proveedores deben notificar inmediatamente a Citi acerca de cualquier citación, solicitud u otro intento de obtener dicha información por parte de un tercero.

d. Los Proveedores se asegurarán de controlar debidamente el acceso a las áreas y computadoras de trabajo. Los Proveedores no analizarán asuntos sensibles ni Información confidencial o de propiedad exclusiva en lugares públicos, tales como ascensores, corredores, restaurantes, baños y medios de transporte públicos, Internet o cualquier otro medio electrónico (incluidos los blogs y sitios de redes sociales).

e. Los Proveedores deben ser prudentes al utilizar teléfonos móviles u otros dispositivos de comunicación o servicios de mensajería. También, deben tener sumo cuidado al analizar Información confidencial en áreas de trabajo abiertas, tales como cubículos o teléfonos con altavoz.

f. Una vez que los Proveedores dejen de suministrar productos y/o servicios a Citi (o tan pronto como Citi lo solicite), deben desactivar y eliminar todos los medios de acceso a los sistemas de Citi, además de devolver, destruir o conservar toda la Información de Citi según lo instruido por esta y regresar todos los objetos propiedad de Citi (incluidas, entre otras cosas, todas las tarjetas de identificación, llaves y dispositivos con contraseña de un solo uso [One Time Password, OTP], como las tarjetas SafeWord).

g. Los Proveedores no podrán reenviar Información de Citi a una computadora del hogar, a una dirección de correo electrónico personal ni a ningún servidor o proveedor de servicios tercero o a otro sitio web no perteneciente a Citi, ni participar en ningún otro uso no autorizado, apropiación indebida o divulgación de Información de Citi. Asimismo, los Proveedores no deben transferir, almacenar ni procesar la PII suministrada por Citi, como tampoco acceder a ella, fuera del país en el cual se proporcionó sin el consentimiento previo de Citi.

h. Los Proveedores son responsables de asegurar el cumplimiento de todas las políticas y pautas de Citi, así como los términos de cualquier Contrato, en relación con la protección de Información de Citi.

2.22 Interacción con los medios y apariciones públicas; uso del nombre de Citi y de sus instalaciones y relaciones

El departamento de Asuntos Públicos Globales de Citi es el único autorizado para emitir comunicados de prensa o declaraciones públicas en nombre de Citi. Los Proveedores no podrán emitir ningún comunicado de prensa en el que se


identifique, directa o indirectamente, a Citi, cualquier Contrato o acuerdo entre un Proveedor y Citi o cualesquiera productos y servicios comprados por Citi a un Proveedor. Además, los Proveedores no podrán autorizar actividades de relaciones públicas relativas a Citi con Clientes, empleados de Citi, otros Proveedores de Citi, otros clientes de Proveedores u otros terceros ni participar en ellas sin la aprobación previa y por escrito de su contacto comercial principal de Citi y del director de Asuntos Públicos Globales de Citi.

Los Proveedores no podrán publicar ningún material en formato escrito o electrónico (lo que incluye libros, artículos, podcasts, transmisiones por Internet, blogs, publicaciones en sitios web, fotos, videos, medios sociales u otros medios), dar discursos, dar entrevistas ni hacer apariciones públicas donde se mencione a Citi, a operaciones de Citi, a Clientes, o a productos o servicios, sin la aprobación previa y por escrito de su contacto comercial principal de Citi y del director de Asuntos Públicos Globales de Citi.

Sea que se relacione o no con el suministro de productos o servicios a Citi, los Proveedores no podrán usar indicios, marcas comerciales, marcas de servicio, nombres comerciales, logotipos, símbolos o marcas propiedad de Citi, sin obtener, en cada caso, el consentimiento previo y por escrito de Citi.

Los Proveedores no podrán usar el nombre, el logotipo ni las marcas comerciales, instalaciones o relaciones de Citi para el beneficio propio o para un trabajo ajeno a Citi (incluso en membretes o sitios web personales, blogs u otros sitios de redes sociales). Además, los Proveedores no podrán hacer uso del nombre, las instalaciones o relaciones de Citi para fines de beneficencia o gratuitamente.

2.23 Operaciones con información privilegiada

Las políticas de Citi, así como las leyes de los Estados Unidos y de muchos otros países, prohíben las operaciones con títulos valores (incluidos los títulos de renta variable, los títulos convertibles, las opciones, los bonos y cualquier índice bursátil que contenga el título) de cualquier compañía cuando se posee información no pública relevante (también denominada “información privilegiada”) relacionada con la compañía, así como la “divulgación” o transmisión de información privilegiada a cualquier otra persona cuando se sabe o se sospecha, en términos razonables, que la persona que recibe la información la usará indebidamente para operar con títulos valores o transmitirla a otros, aunque el informante no reciba ningún beneficio monetario. Si los Proveedores creen que han accedido a información privilegiada, no podrán realizar ninguna operación con títulos valores de la compañía en cuestión sin primero consultar al asesor jurídico interno de Citi, quien determinará si dicha operación viola o no las políticas de Citi o las leyes aplicables. Además, los Proveedores jamás podrán divulgar o transmitir información privilegiada, si el hecho de hacerlo constituye una violación a las políticas de Citi o a las leyes aplicables.

Las operaciones basadas en información relevante y/o no pública o la divulgación de dicha información también pueden violar las obligaciones contractuales asumidas por Citi con sus Clientes, o en nombre de estos, así como las cláusulas de los Contratos entre el Proveedor y Citi. Las consecuencias de violar las disposiciones sobre operaciones con información privilegiada pueden ser graves e incluir, entre otras cosas, el cese de la relación entre el Proveedor y Citi (incluidos todos y cada uno de los Contratos); castigos y sanciones penales para el


Proveedor, para el Personal del Proveedor involucrado y para los informantes individuales; multas económicas; y otros daños.

Los Proveedores pueden dirigir sus preguntas sobre operaciones con información privilegiada a su principal contacto comercial en Citi.

2.24 Inversiones personales en Citi y otros títulos valores

Los Proveedores que presten servicios a determinados negocios de Citi podrán estar sujetos a restricciones y políticas adicionales en relación con las operaciones personales con títulos valores (incluidos los títulos valores de Citi). Estas pueden incluir autorización previa, períodos de prohibición y requisitos de informe. Los Proveedores afectados serán notificados al respecto, y luego de ser notificados deberán cumplir con todas las restricciones adicionales que Citi imponga sobre ellos.

2.25 Investigaciones

Los Proveedores deben cooperar plenamente con todas las investigaciones internas o externas debidamente autorizadas de Citi, incluidas, entre otras, las que impliquen asuntos de ética o quejas de discriminación o acoso. Los Proveedores jamás deben retener, destruir, alterar ni dejar de comunicar información o documentos relevantes relacionados con una investigación. Además, los Proveedores deben mantener y proteger la confidencialidad de las investigaciones, en la mayor medida posible. Está prohibido hacer declaraciones falsas o tergiversar información ante auditores internos o externos, investigadores, asesores jurídicos, representantes de Citi, reguladores u otras autoridades gubernamentales.

2.26 Obligación de informar

A menos que lo prohíban las leyes locales, los Proveedores que suministren productos o servicios en un lugar de trabajo de Citi deben notificar a Citi si son objeto de arresto, citación, apercibimiento, procesamiento, acusación formal o condena por cualquier delito penal, incluida la participación en un programa de rehabilitación previa al juicio o programa similar.

2.27 Actividades y contribuciones políticas

Las actividades políticas incluyen: (i) hacer contribuciones políticas personales o corporativas, solicitar contribuciones políticas, usar fondos o recursos de Citi (tales como instalaciones, equipos, software o Personal) u ofrecer servicios personales como voluntario durante horas de trabajo en la compañía a favor de un candidato que hace campaña para ocupar un cargo público, un comité partidario o un comité político; (ii) participar en actividades de grupos de presión o de captación de funcionarios públicos, de manera directa o a través de terceros, incluidos los intentos para ejercer influencia en decisiones legislativas y, según la jurisdicción, los intentos para ejercer influencia en la reglamentación de organismos o en la concesión de contratos del gobierno; o (iii) procurar, aceptar u ocupar un cargo político asociado a un gobierno, incluida cualquier junta gubernamental, comisión u otra organización similar.


Hay una serie de leyes que regulan las actividades políticas de Citi y sus Proveedores. Los Proveedores tienen prohibido participar en cualquier actividad política que contravenga las leyes o reglamentaciones pertinentes.

Además, ningún Proveedor podrá emprender o llevar a cabo actividades políticas en nombre de (o en supuesto nombre de) Citi sin la autorización previa y por escrito de la oficina de Asuntos Gubernamentales Globales de Citi. Citi jamás reintegrará al Proveedor por contribuciones políticas personales o corporativas de ningún tipo.

2.28 Contribuciones de beneficencia

Los Proveedores no podrán hacer contribuciones de beneficencia en nombre de Citi, ni tampoco dichas contribuciones podrán ser solicitadas a, o por empleados de Citi, Clientes, funcionarios de gobierno u otros socios comerciales de Citi, como condición de una decisión comercial o para influir en dicha decisión (es decir, no se permite el “quid pro quo”).

2.29 Oportunidades corporativas

Los Proveedores tienen el deber de contribuir a los intereses legítimos de Citi cuando surja la oportunidad de hacerlo. Los Proveedores no podrán beneficiarse de posibles oportunidades corporativas para Citi que se descubran en el curso de la relación entre los Proveedores y Citi, o mediante el uso de bienes, información o la posición de Citi; y tampoco podrán competir con Citi.

2.30 Operaciones comerciales con partes relacionadas

El Proveedor debe notificar a Citi sobre cualquier relación comercial o transacción comercial propuesta que Citi pueda tener con cualquier compañía en la que el Proveedor o una parte relacionada tenga una participación directa o indirecta, de la que el Proveedor o una parte relacionada pueda obtener un beneficio o donde la parte relacionada esté empleada, si dicha relación o transacción puede dar la apariencia de un conflicto de intereses.

2.31 Comunicación de inquietudes

Preservar las normas éticas es crucial para que Citi mantenga sus estándares comerciales de nivel mundial. Si tiene alguna pregunta acerca del mejor accionar en una situación en particular o si sospecha razonablemente o tiene conocimiento de una posible violación de una ley, reglamentación, política o estándar ético de Citi, debe informarlo comunicándose de inmediato con su Funcionario de terceros de Citi, su contacto comercial de Citi, la Oficina de Ética de Citi o cualquier otro contacto que figure en el Código de Conducta de Citi.

Puede comunicarse con la Oficina de Ética de Citi de las siguientes maneras:

Llame a la línea directa de ética, que es un número gratuito (disponible todos los días, las 24 horas, en varios idiomas): 866 ETHIC 99 (866-384-4299).

O bien, marque el código de acceso de su país y luego 866-384-4299

O bien, 212-559-5842 (directo o por cobro revertido)

Correo electrónico [email protected]

mailto:[email protected]


Envíe por el sitio web a: http://www.citigroup.com/citi/investor/ethics_hotline.html

Correo postal a la siguiente dirección: Citi Ethics Office One Court Square Long Island City, NY 11101 EE. UU.

Envíe un fax al: 212-793-1347

http://www.citigroup.com/citi/investor/ethics_hotline.html

ESTÁNDARES PARA PROVEEDORES DE CITI ACCESIBILIDAD Y DIVERSIDAD PÁGINA 19 DE -2

3 ACCESIBILIDAD Y DIVERSIDAD

Citi fomenta el uso de Proveedores diversos y se compromete a ayudar a los Proveedores diversos en su crecimiento y desarrollo a largo plazo. Además, Citi alienta a sus Proveedores a desarrollar y utilizar Proveedores diversos como subcontratistas, cuando corresponda. Podrá encontrar más información sobre el Programa de Diversidad de Proveedores de Citi en el sitio web de Diversidad de Proveedores de Citi:

http://www.citigroup.com/citi/citizen/people/diversity/index.htm.

En todo momento, el Proveedor debe cumplir con todas las leyes de antidiscriminación e igualdad de oportunidades aplicables a cada uno de sus miembros del Personal (incluido el Personal discapacitado) y a sus Productos, según las instrucciones de Citi (de conformidad con lo pactado en un acuerdo o en los documentos transaccionales mencionados en el presente), así como procurar que sus agentes, subcontratistas, empleados y trabajadores también las cumplan. El Proveedor hará los esfuerzos razonables para cumplir con los códigos de prácticas actuales pertinentes en relación con el empleo de personas discapacitadas y la prestación de servicios compatible con las leyes de igualdad de oportunidades (según lo estipulado en la Ley para Estadounidenses con Discapacidades de 1964, la Ley de Telecomunicaciones de 1996 y, en el Reino Unido, la Ley de Igualdad de 2010 o una ley similar), así como procurar que sus subcontratistas también los cumplan.

http://www.citigroup.com/citi/corporate/supplier_diversity/index.htm

http://www.citigroup.com/citi/citizen/people/diversity/index.htm

ESTÁNDARES PARA PROVEEDORES DE CITI RELACIÓN CON LOS PROVEEDORES Y CUMPLIMIENTO DE CONTRATOS PÁGINA 20 DE -2

4 RELACIÓN CON LOS PROVEEDORES Y CUMPLIMIENTO DE CONTRATOS

a. Los Proveedores y eventuales Proveedores deben cooperar con su principal contacto comercial en Citi para firmar un Acuerdo de confidencialidad (Non-Disclosure Agreement, NDA) con Citi antes de cualquier conversación o intercambio de Información confidencial de Citi, entre Citi y los Proveedores.

b. Los Proveedores no deben iniciar la prestación de ningún servicio ni suministrar producto alguno a Citi, a menos que exista un Contrato debidamente negociado y firmado entre Citi y el Proveedor en cuestión, o que Citi haya emitido una orden de compra (purchase order, PO) para el Proveedor.

c. Los Proveedores deben mantener informado a su principal contacto comercial en Citi sobre todos los cambios en el equipo de gestión clave del Proveedor y la información de contacto correspondiente.

d. Los Proveedores deben apoyar los esfuerzos de Citi para llevar a cabo las actividades requeridas y pertinentes de gestión continua de Proveedores y cooperar según sea necesario, lo que incluye las Evaluaciones de seguridad de la información y la información sobre quejas de clientes y su resolución, si se requiere. Las tareas adicionales de diligencia se llevan a cabo para los Proveedores designados como Proveedores de Servicios Subcontratados (Outsource Service Provider, OSP). Los Proveedores deben brindar el apoyo necesario a los negocios de Citi para llevar a cabo las tareas adicionales de debida diligencia, cuando corresponda. (Por ejemplo, consulte "Seguridad de la información" en la Sección 9 de estos Estándares).

e. Los Proveedores que participen en actividades de contacto con los consumidores deben mantener procedimientos de manejo de quejas/inquietudes, según lo definido en la Sección 11.Las actividades de contacto con los consumidores incluyen aquellas en las que un Proveedor -en nombre de Citi o bajo sus órdenes-, interactúa directamente con un consumidor de Citi o una parte relacionada. Los Proveedores deben aplicar la definición de quejas/inquietudes de Citi e implementar procesos que respalden la Identificación de quejas/inquietudes (su definición), la aceptación, la captación, la escalación, la investigación (indagación) y las respuestas congruentes con la Sección 11. La Supervisión de Proveedores de Citi es responsable de comunicar y supervisar la implementación de requisitos de quejas/inquietudes por parte de terceros, controlar el cumplimiento de los requisitos y establecer análisis e informes eficaces. Los Proveedores deben brindarle a Citi datos y detalles sobre las quejas/inquietudes de forma regular y en un formato que sea congruente con los requisitos de seguimiento de Citi. Las excepciones para Proveedores requieren la aprobación de los correspondientes Comités de Asesoramiento para Quejas.

f. Los Proveedores que tengan acceso a sistemas, instalaciones e información clasificada como Información confidencial o de nivel superior, deben apoyar las solicitudes de Citi de proporcionar información para fines de identificación.

g. A menos que Citi acuerde lo contrario por escrito, los Proveedores no podrán recurrir a un subcontratista para cumplir con sus obligaciones hacia Citi. Si se le permite recurrir a un subcontratista, el Proveedor debe confirmar que el subcontratista puede cumplir con todas las obligaciones aplicables al Proveedor; (b) el Proveedor debe asegurar que el subcontratista propuesto cumpla con todas


las obligaciones aplicables al Proveedor; y (c) el Proveedor seguirá siendo responsable ante Citi por el rendimiento general y cualquier incumplimiento del subcontratista en virtud del Contrato que mantiene el Proveedor con Citi.

h. Cualquier aprobación del subcontratista debe documentarse a través de una aceptación por escrito firmada por el Proveedor que ratifique las obligaciones de este descritas en los incisos (b) y (c) del párrafo (g) anterior, de acuerdo con el nivel de riesgo o importancia de la actividad del subcontratista propuesto, según Citi considere necesario. La forma y el contenido exactos de la aceptación por escrito pueden modificarse según el Contrato subyacente con el Proveedor y los términos precisos que Citi apruebe y considere necesarios. Para documentar la aprobación mediante el Formulario de consentimiento correspondiente, consulte a su principal contacto comercial en Citi.

Aceptación del Proveedor en relación con el uso de un subcontratista

Aceptación del Proveedor en relación con el uso de subcontratistas designados

i. Citi podría solicitar a los Proveedores que suministren sus estados financieros auditados de los últimos tres (3) años y a solicitud, los estados financieros provisionales más recientes. Al Proveedor también se le puede solicitar su consentimiento por escrito para autorizar a Citi a suministrar dichos estados financieros a un proveedor de servicios externo contratado por Citi, para traducir o realizar una Evaluación financiera.

j. Citi podrá solicitar información para confirmar y/o documentación para validar que el Proveedor ha cumplido con todos los niveles de calidad y servicio requeridos, así como documentación para evaluar la suficiencia de las prácticas y el programa de Continuidad de negocios (Continuity of Business, CoB) del Proveedor (consulte la Sección 10 de estos Estándares) y/o el cumplimiento con cualquiera de los términos de su Contrato.

k. Los Proveedores deben asegurar, en todo momento, el pleno cumplimiento con todas y cada una de las leyes de Exportación, y proporcionar información razonable y necesaria a Citi si los productos y servicios suministrados por los Proveedores a Citi implican o requieren el intercambio de datos técnicos, software informático o cualquier producto (o parte un producto), proceso o servicio que sea el producto directo de dichos datos técnicos o software informático, fuera de los Estados Unidos o con personas que no sean ciudadanos o residentes de los Estados Unidos. Además, según la naturaleza de los productos y servicios, Citi podrá exigir a los Proveedores que identifiquen la clasificación de exportación de dichos productos y servicios. Adicionalmente, los Proveedores cumplirán con todas las leyes de exportación que apliquen fuera de los Estados Unidos, y también con las leyes y reglamentaciones que apliquen a nivel local, y notificarán a Citi sobre cualquier requisito específico en relación con el uso de los productos y servicios por parte de Citi fuera de los Estados Unidos.

l. El Proveedor no asignará a Citi ni contratará para prestar Servicios a Citi a ningún miembro del Personal del que sepa, sospeche o tenga razones para creer que ha sido condenado, que ha sido declarado culpable o que ha participado en un programa de rehabilitación previa al juicio por un delito relacionado con falta de probidad, abuso de confianza, lavado de dinero o cualquier otro tipo de delito, sea que se relacione o no con los servicios. Citi podrá exigir a los Proveedores que realicen y aprueben debidamente una verificación de antecedentes penales (que

http://www.citigroup.com/citi/suppliers/data/supplier_acknowledgement_subcontractor.pdf

http://www.citigroup.com/citi/suppliers/data/supplier_acknowledgement_subcontractor.pdf

http://www.citigroup.com/citi/suppliers/data/supplier_acknowledgement_multiple_subcontractors.pdf


puede incluir la toma de huellas dactilares) como condición para prestar servicios a Citi o que presenten constancia escrita satisfactoria que se ha realizado la verificación de antecedentes penales y de sus resultados, a solicitud de Citi, donde lo permitan las leyes locales.

m. El Proveedor debe mantener y aplicar con eficacia políticas y procedimientos exhaustivos para llevar a cabo verificaciones de antecedentes de los miembros de su Personal que sean personas físicas y que se prevea que sean designados para prestar Servicios a Citi, de conformidad y en la medida en que lo permitan las leyes aplicables y los acuerdos de negociación colectiva que correspondan. Estas políticas y procedimientos deben cumplir con los estándares de Citi para la investigación de antecedentes, incluyendo, entre otros, la revisión del historial de empleo, las condenas penales y las pruebas de detección de drogas previas a la contratación del Personal. Citi podrá, en cualquier momento, solicitar información para confirmar que el Proveedor haya realizado la investigación de antecedentes de acuerdo con los estándares de Citi y todas las leyes y reglamentaciones locales que sean aplicables.

n. Las expectativas de Citi con respecto a la investigación de antecedentes del Personal por parte de los Proveedores se definen en la Sección 12: Estándares globales de Investigación de antecedentes en estos Estándares.

o. Citi podrá exigir que el Personal del Proveedor lea y acepte cumplir con las políticas de Citi, incluidas las relacionadas con la seguridad y privacidad, las políticas sobre el lugar de trabajo, y otras políticas, procedimientos y pautas destinados a asegurar el cumplimiento con los requisitos legales y reglamentarios correspondientes.

p. Los Proveedores deben cumplir con todas las leyes y reglamentaciones de inmigración aplicables para aquellos países en los que su Personal lleva a cabo servicios para Citi. Los Proveedores deben cumplir con los requisitos de verificación de elegibilidad laboral y asegurar que su personal tenga autorización para trabajar en los países a los cuales se los asigna. El Proveedor debe asegurar que su personal cuente con la clasificación de visa correspondiente para los tipos de servicios que presta para Citi, y que ni él ni su Personal viole de alguna manera las leyes y reglamentaciones de inmigración de los países en los cuales presta servicios para Citi. Cuando descubra algún incumplimiento, suyo o de su Personal, el Proveedor debe notificar de inmediato a Citi y tomar las medidas correctivas correspondientes.

q. El Proveedor firmará y le proporcionará a Citi los documentos de incorporación requeridos antes de asignar al Personal del Proveedor, y asegurará, según corresponda, que su Personal también los firme y se los proporcione a Citi. El Proveedor cumplirá con todas las políticas y los procesos de Citi, incluidos aquellos relacionados con las solicitudes de cartas de verificación laboral y las cartas de invitación (y es posible que se apliquen sanciones comerciales si el Proveedor no cumple con ellos). El Proveedor acepta que, si los funcionarios de inmigración rechazan la visa o la admisión a un determinado país de alguno de los miembros de su Personal que busque ingresar a dicho país para prestar o pretender prestar servicios a Citi, dará aviso a Citi de inmediato acerca de dicho rechazo y presentará copias de todos los documentos disponibles relacionados con la negativa.

ESTÁNDARES PARA PROVEEDORES DE CITI GASTOS PÁGINA 23 DE -2

5 GASTOS

Citi solo reintegrará los gastos razonables relacionados con el negocio que hayan sido preaprobados por escrito por Citi y en los que haya incurrido el Proveedor respecto del suministro de productos y servicios a este, de acuerdo con los términos del Contrato pertinente y con el respaldo de recibos. Los gastos deben estar correctamente documentados y ser facturados a Citi de acuerdo con los requisitos de facturación de Citi. Con fines aclaratorios, los gastos de los cuales el Proveedor pretenda el reembolso por parte de Citi están sujetos a la aprobación previa y por escrito de Citi a través de un empleado de Citi con el nivel adecuado de autoridad delegada para aprobar el gasto. Toda factura presentada a Citi para el reembolso de partidas de gastos válidas y aprobadas debe incluir (además de todos los demás requisitos de facturación):

el propósito comercial del gasto;

el importe y la descripción del gasto;

el lugar y la fecha del gasto;

el nombre y la descripción del proyecto para el que el Proveedor presta servicios;

los nombres y la relación comercial del representante de Citi que solicitó los servicios por los que se incurrió en gastos.

Los plazos de pago acordados entre Citi y el Proveedor en el Contrato pertinente también se aplican al reembolso de gastos.

Para obtener información sobre gastos comerciales reintegrables, comuníquese con su principal contacto comercial en Citi. Todos los viajes reembolsables deben reservarse mediante la Compañía de gestión de viajes (Travel Management Company, TMC) de Citi, cuando corresponda. Junto con el reclamo de reembolso, se deben presentar los itinerarios de viaje completos y las facturas, los cuales deben ser aprobados por el negocio patrocinador correspondiente y/o por el principal contacto comercial de Citi. Las solicitudes que no cumplan con los requisitos no recibirán reembolso. El Proveedor no podrá presentar para el reembolso los importes que no reúnan los requisitos.

Los siguientes son fragmentos extraídos de la sección de Gastos comerciales reembolsables de la Política de Gestión de Gastos de Citi, con modificaciones pertinentes, los cuales son aplicables al Proveedor y a su Personal en relación con las reservaciones de viajes a través de las Compañías de gestión de viajes (TMC), incluido el proceso de reembolso. Para obtener información sobre gastos reembolsables, comuníquese con su principal contacto comercial de Citi.

I. Gastos no reembolsables relacionados con viajes: El Proveedor y su Personal no podrán, bajo ninguna circunstancia, obtener reembolso por partidas de gastos no reembolsables.

II. Gastos reembolsables relacionados con viajes: sujeto al cumplimiento, en todos los casos, de los términos del acuerdo de servicios pertinente por parte del Proveedor y su Personal, las siguientes partidas pueden ser elegibles para el reembolso, en la medida en que dichos gastos se contraigan durante viajes por motivos comerciales de Citi:


A. General

1. Las reservaciones de viajes deben hacerse a través de una Compañía de gestión de viajes (TMC) de Citi, cuando corresponda. Para obtener la información de contacto de la TMC de Citi local, comuníquese con su principal contacto comercial de Citi. Al utilizar la TMC de Citi, los Proveedores y su Personal deben proporcionar a la TMC una identificación de no empleado de Citi (Non-Employee ID, NEMS ID), cuando corresponda, o la identificación de empleado de Citi (GEID) de su “patrocinador” de Citi (el empleado de Citi con el que realizan negocios).

a. Las reservaciones incluyen:

i. hoteles

ii. vehículos de alquiler

iii. viajes en avión de punto a punto

iv. viajes en avión con varios trayectos

v. viajes en tren elegibles, a menos que la TMC indique al viajero que tiene que hacer la reservación directamente con la empresa de transporte

2. Todos los viajes deben clasificarse como generadores de ingresos para clientes o no generadores de ingresos para clientes:

a. Los viajes generadores de ingresos para Citi o para el Cliente de Citi se definen como aquellos directamente asociados con actividades que generan ingresos o se relacionan con clientes.

b. Los viajes no generadores de ingresos para Citi o para el Cliente de Citi se definen como actividades críticas para los negocios no asociadas con la generación de ingresos, como las actividades legales, reglamentarias o de Continuidad de negocios.

3. Se aconseja enfáticamente al Proveedor y a su Personal comprar los pasajes aéreos y reservar hoteles con, al menos, 7 días de anticipación a la fecha de partida.

4. El Proveedor y su Personal no podrán hacer o modificar los arreglos de un viaje para su beneficio personal.

a. El Proveedor y su Personal no podrán bajar de categoría de servicio (por ejemplo, de clase ejecutiva a clase económica) a fin de usar lo ahorrado para fines personales, o pagar una tarifa más alta que la tarifa con descuento para obtener millas adicionales u otros beneficios.

5. El Proveedor y su Personal no pueden usar el Programa Global de Viajes de Citi para viajes personales.

6. Los gastos de traslado hacia y desde el trabajo no son reintegrables. 7. Los costos de transporte terrestre son reintegrables solo para fines

relacionados con los negocios:

a. Los dispositivos para peajes, las compras de fichas con descuento, y los pases ilimitados de tren y autobús no son reintegrables, a menos que se usen exclusivamente para viajes relacionados con negocios de Citi.


8. Los viajes de cónyuges no son reintegrables.

9. Los costos por acceso a Internet incurridos durante un viaje son reembolsables cuando dicho acceso es necesario exclusivamente para fines comerciales relacionados con Citi.

10. Si las reservaciones elegibles NO se realizan a través de la Compañía de gestión de viajes, cuando se requiera, no se reintegrarán al Proveedor ni a su Personal.

Los cambios de emergencia en un viaje debido a inclemencias climáticas (por ejemplo, nevadas), a la invocación del plan de Continuidad de negocios o a un incidente de viaje informado (por ejemplo, cierre o interrupción de aeropuertos), donde el Proveedor y su Personal no puedan comunicarse con la Compañía de gestión de viajes, pueden hacerse directamente con la aerolínea comercial, el hotel, la agencia de alquiler de vehículos o el proveedor de transporte ferroviario elegible.

B. Viajes en aerolíneas comerciales

1. El Proveedor y su Personal deben reservar los pasajes con la tarifa aérea lógica más baja en una aerolínea preferida por Citi.

a. La TMC proporcionará información sobre vuelos dentro del período de viaje correspondiente y ofrecerá la tarifa aérea lógica más baja de dichos vuelos.

b. El período de viaje para vuelos internacionales es de dos horas con relación al horario de partida, y de una hora para vuelos nacionales y dentro de la región EMEA.

c. El Proveedor y su Personal no tienen obligación de hacer escalas cuando está disponible un vuelo sin escalas en una aerolínea preferida por Citi.

d. La TMC también puede proporcionar información sobre tarifas aéreas desde aeropuertos alternativos. La opción de partir desde un aeropuerto alternativo es recomendable cuando las tarifas son más bajas y no se ponen en riesgo los objetivos comerciales.

e. Deben reservarse a través de la TMC los viajes relacionados con Clientes de Citi que requieran que el Proveedor tome el mismo vuelo o viaje en la misma categoría de servicio que el Cliente o cuando el horario de llegada del vuelo con la Tarifa aérea lógica más baja no permita cumplir con el horario crítico de reunión con un Cliente.

2. Los viajes en avión deben hacerse en clase económica o turista. La clase ejecutiva (o la clase inmediatamente superior a la clase económica o turista) se permite en los siguientes casos:

a. Dentro de la región EMEA: todos los vuelos de más de 1200 millas (de ida)

b. todos los otros vuelos de más de 2100 millas (de ida)

3. Si el Proveedor y su Personal desean subir de categoría de servicio a una clase superior a la permitida, el costo de dicho cambio de categoría no es reembolsable.

4. El Proveedor y su Personal deben usar boletos electrónicos cuando estén disponibles.


5. El Proveedor y su Personal deben cancelar toda reservación que no vaya a ser utilizada antes del horario de partida programado para asegurar que se procese el reembolso.

6. El Proveedor y su Personal no podrán elegir tarifas aéreas más caras para beneficio personal (por ejemplo, millas de viajero frecuente, condición de viajero frecuente o boletos para acompañantes). El Proveedor y su Personal podrán conservar las millas de viajero frecuente si no representan un costo adicional para Citi.

7. Los vuelos en aviones alquilados no son reembolsables.

8. Reembolsos

a. Si los vuelos se reservan a través de la Compañía de gestión de viajes (TMC):

i. Si la Tarifa aérea lógica más baja fue aceptada, el Proveedor y su Personal recibirán el reembolso total; de lo contrario, el costo excedente no será reembolsable.

ii. El Proveedor y su Personal deben presentar la factura y el itinerario de la TMC, incluidas las observaciones a la política, para el reembolso.

b. Si los vuelos NO se reservan a través de la Compañía de gestión de viajes, cuando se requiera, no se reintegrarán al Proveedor ni a su Personal.

C. Transporte terrestre

El transporte terrestre incluye el uso de vehículos de motor por razones de negocios, e incluye vehículos de alquiler, vehículos personales, trenes, autobuses y automóviles privados o servicios de taxi.

1. Vehículos de alquiler:

a. Las clases de vehículos de alquiler aprobadas son la clase estándar y las clases inferiores.

i. Un automóvil de tamaño grande o un vehículo utilitario deportivo (Sport Utility Vehicle, SUV) solo puede alquilarse cuando vaya a ser utilizado por cuatro o más pasajeros.

ii. El alquiler de vehículos de lujo o especiales no es reembolsable.

b. Las multas por infracciones de tránsito o estacionamiento no son reembolsables.

c. Los costos de combustible de vehículos de alquiler son reembolsables.

2. Vehículos personales:

a. El uso de vehículos personales para viajes de negocios de Citi es reembolsable según la distancia adicional recorrida que exceda la distancia de traslado normal hacia y desde el trabajo. Los costos de combustible no son reembolsables.

b. Los Proveedores y miembros de su Personal que utilicen sus vehículos personales para viajes de negocios serán reembolsables de acuerdo con las leyes impositivas locales, en función de la documentación de la


distancia recorrida, las fechas de origen y destino del viaje y la razón comercial pertinente.

i. Los gastos de estacionamiento, peaje y kilometraje son reembolsables.

ii. Las multas por infracciones de tránsito o estacionamiento no son reembolsables.

iii. Los gastos relacionados con el robo o daño del vehículo de un Proveedor o su Personal (incluidos los pagos deducibles del seguro) mientras realizan actividades para Citi no son reembolsables.

iv. Los costos de estacionamiento y los gastos de traslado diario hacia y desde el trabajo forman parte de los gastos normales de traslado y no son reembolsables.

3. Automóviles privados:

a. Cuando no haya disponible un medio de transporte público o este no sea adecuado, se deberá usar un taxi, un Servicio de automóvil privado aprobado o un Servicio de automóvil privado reembolsable, donde esté disponible. Para ver la lista de proveedores de Servicio de automóvil privado aprobado, comuníquese con su principal contacto comercial de Citi.

i. El costo es reembolsable solo cuando se usa para fines relacionados con los negocios, por ejemplo, el transporte hacia el aeropuerto y desde este en un viaje de negocios aprobado, el transporte hacia una reunión con un cliente o desde esta, o el transporte hacia el hogar cuando trabaja de noche a partir de las 10:00 p. m. (todas las ubicaciones).

ii. El Proveedor y los miembros de su Personal que requieran transporte entre oficinas de Citi deben usar el transporte público o los Servicios de enlace operados por Citi cuando estén disponibles.

iii. El Proveedor y su Personal deben usar los servicios de traslado gratuitos hacia y desde el aeropuerto cuando son ofrecidos por la aerolínea como parte de la tarifa aérea. Se notificará al Proveedor y a su Personal cuando estén disponibles.

iv. El Proveedor y su Personal pueden usar una compañía de automóviles no aprobada en ciudades grandes para servicios cuyo origen o destino sea fuera de los límites municipales.

v. Los cargos por paradas no son reembolsables, excepto cuando se comparte el transporte en viajes de negocios. La solicitud de reembolso de gastos debe incluir el lugar de partida y de llegada, el propósito comercial y los nombres de los asistentes.

vi. El teléfono móvil en el vehículo, el transporte en vehículos personales y los cargos por no cumplir con reservaciones no son reembolsables.


vii. Las propinas no son reembolsables cuando se utiliza un Servicio de automóvil privado aprobado y un Servicio de automóvil privado reembolsable.

viii. Los cargos por precio dinámico y vehículos de lujo no son reembolsables cuando se utiliza un Servicio de automóvil privado reembolsable. Todas las excepciones deben ser aprobadas por el director financiero (Chief Financial Officer, CFO) de Citi.

ix. El Proveedor y su Personal deben presentar recibos de acuerdo con las formas aceptables de documentación de recibos de Gestión de Gastos, a fin de obtener el reembolso.

x. Un vehículo utilitario deportivo (Sport Utility Vehicle, SUV) solo puede contratarse si será utilizado por tres o más pasajeros.

b. Está prohibido el uso de limusinas largas o de seis plazas.

4. Viajes en tren:

a. Los viajes en tren elegibles deben reservarse a través de la Compañía de gestión de viajes. Los viajes en tren con otras empresas de transporte deben reservarse directamente con dichas empresas.

b. Todos los viajes en tren deben hacerse en clase económica, en segunda clase o en el servicio expreso más económico que esté disponible.

i. Los viajes en tren en primera clase, incluida la clase Club y la clase Custom (en asientos reservados de lujo), están permitidos cuando se utilizan en lugar de un viaje en avión más costoso.

ii. Para viajes en tren en primera clase se requiere adjuntar una explicación escrita a la solicitud de reembolso del Proveedor o su Personal.

5. Autobús de traslado:

Los autobuses de traslado ofrecen al Personal del Proveedor transporte hacia y desde determinados edificios de oficinas de Citi para reuniones de negocios. Al abordar el autobús de traslado, se debe mostrar la identificación de Citi o un pase de visitante válido.

D. Hoteles

1. El Proveedor y su Personal deben reservar todos los hoteles, hoteles de estadía prolongada y apartamentos con servicios a través de la Compañía de gestión de viajes de Citi. Los hoteles de estadía prolongada y apartamentos con servicios que no se puedan reservar a través de la Compañía de gestión de viajes de Citi deben reservarse a través del Departamento de Viajes Globales de Citi.

Los viajes relacionados con Clientes que requieran que el Proveedor o su Personal se hospeden en el mismo hotel que el Cliente deben reservarse a través de la Compañía de gestión de viajes y no requieren la aprobación de excepciones.


2. El Proveedor y su Personal deben reservar la tarifa negociada por Citi más baja que esté disponible en el Hotel preferido por Citi más próximo al lugar donde se llevarán a cabo negocios para Citi.

3. En ciudades donde no haya un Hotel preferido por Citi, la Compañía de gestión de viajes de Citi dirigirá al Proveedor y a su Personal a un hotel con tarifa aprobada.

4. Cuando el Personal del Proveedor requiera hospedarse > 5 noches, deberá hacerlo en hoteles identificados como hoteles de estadía prolongada o Apartamentos con servicios preferidos por Citi, cuando estén disponibles.

5. El Proveedor y su Personal deben cancelar toda reservación que no vaya a ser utilizada de acuerdo con la política de cancelación de hoteles sin multas. El Proveedor y su Personal deben obtener el número de cancelación.

6. Reembolsos

a. Si los hoteles se reservan a través de la Compañía de gestión de viajes:

i. El Proveedor o su Personal recibirán el reembolso total si eligieron el hotel y la tarifa aprobados. Cualquier costo excedente no será reintegrado.

ii. Además de la factura detallada del hotel, el Proveedor o su Personal deben presentar la factura y el itinerario de la Compañía de gestión de viajes de Citi, incluidas las observaciones a la política para estadías de hotel a Cadena de Suministro Empresarial (Enterprise Supply Chain, ESC) para su reembolso.

iii. El Proveedor y su Personal deben presentar el Formulario de aprobación de estadía prolongada y apartamento con servicios a ESC de Citi, en el caso de alojamiento reservado por el Departamento de Viajes Globales de Citi.

b. Si los hoteles NO se reservan a través de la Compañía de gestión de viajes de Citi, cuando se requiera, no se reintegrarán los gastos al Proveedor ni a su Personal.

i. Viajes relacionados con Clientes que requieren que el Proveedor se hospede en un hotel reservado directamente por el Cliente o la firma externa que maneja la logística de viajes relacionados con el Cliente.

ii. En el caso de asistir a seminarios externos, conferencias, reuniones de asociaciones o convenciones que ofrecen tarifas especiales por grupo o con descuento en la sede de la reunión o en hoteles próximos al lugar, no es necesario hacer reservaciones a través de la Compañía de gestión de viajes. Como constancia de la asistencia, se debe presentar una copia de la inscripción en la conferencia junto con la solicitud de reembolso.

ESTÁNDARES PARA PROVEEDORES DE CITI REGALOS Y ENTRETENIMIENTO PÁGINA 30 DE -2

6 REGALOS Y ENTRETENIMIENTO

La política de Citi prohíbe a sus empleados o a cualquier familiar cercano dar o aceptar regalos, entretenimiento, servicios, préstamos o trato preferencial a Clientes, socios comerciales externos, Proveedores u otras personas, o bien, de dichas personas, a cambio de una relación comercial presente o futura con Citi. Los Proveedores deben brindar apoyo a Citi para asegurar el cumplimiento de estas restricciones y prohibiciones, y para no poner a los empleados de Citi en una situación incómoda o comprometedora. En general, los Proveedores no podrán dar regalos ni ofrecer cosas de valor (incluido el entretenimiento) a los empleados de Citi, si el hacerlo generaría un conflicto de intereses real o aparente, comprometería la objetividad del empleado o influiría eventualmente de algún modo en la toma de decisiones de dicho empleado. Sin perjuicio de lo antedicho, los regalos en efectivo o sus equivalentes (por ejemplo, tarjetas de regalo o vales) no están permitidos bajo ninguna circunstancia, y los Proveedores no deben dar Regalos de negocios2 no monetarios por un valor total superior a los 100 USD por persona, por año calendario, a los empleados de Citi. La recepción de Regalos de negocios puede estar sujeta a límites adicionales según las políticas específicas de entidades legales, regionales y/o comerciales de Citi. Cuando un Proveedor ofrece Entretenimiento de negocios (por ejemplo, invitaciones a comer, o bien, para eventos sociales, deportivos, culturales o similares) a un empleado de Citi, el Proveedor debe asistir al evento, y el entretenimiento debe ser adecuado, convencional y razonable, no debe ser lujoso ni excesivamente frecuente y no debe perseguir el claro objetivo de influir en los negocios de Citi.

El Proveedor no podrá dar regalos o entretenimiento de ningún valor a funcionarios o empleados de gobierno en nombre de Citi o en supuesto nombre de Citi, sin la aprobación previa del departamento de Cumplimiento Global de Citi (para funcionarios de gobierno de los EE. UU.) o la aprobación del Departamento Antisoborno y Anticorrupción (para funcionarios de gobierno no estadounidenses).

2 Un “Regalo de negocios” es cualquier objeto de valor (que no sea Entretenimiento de negocios) dado o recibido por un empleado de Citi en relación con negocios de Citi o negocios de la parte externa, que, por lo general, no incluye objetos valuados en 25 USD o menos.

ESTÁNDARES PARA PROVEEDORES DE CITI GESTIÓN DE REGISTROS PÁGINA 31 DE -2

7 GESTIÓN DE REGISTROS

Citi exige a todos los Proveedores que tengan bajo su custodia Información de Citi trabajar junto con su Business Activity Owner (BAO) o principal contacto comercial de Citi para (i) clasificar la Información como Registro o como Transitoria a los fines de la gestión de registros de Citi, (ii) clasificar los Registros de acuerdo con el Catálogo de registros maestros (Master Record Catalogue, MRC) de Citi, (iii) conservar Información sobre la base de los requisitos de conservación y (iv) en ausencia de una orden de Retención de registros, eliminar la Información al final de su ciclo de vida.

El Proveedor debe trabajar con su principal contacto comercial de Citi o con el BAO para asegurar que el Inventario de registros identifique los registros de acuerdo con los códigos de registro del MRC y que se actualice una vez al año, como mínimo. El Proveedor tiene la obligación de respetar los requisitos de gestión de Registros comunicados por el BAO. Los registros que han satisfecho la obligación de conservación establecida en el MRC y que no se encuentren bajo una orden de Retención de registros, deben ser destruidos de acuerdo con los Estándares de Seguridad de la Información de Citi dentro de los 12 meses de elegibilidad. El Proveedor debe suspender la destrucción o alteración de Información de Citi cuando se le notifique una orden de Retención de registros. La Información transitoria debe ser destruida en un plazo no mayor a los dos años de su último uso, siempre y cuando no esté sujeta a una orden de Retención de registros.

Los Proveedores no deben eliminar ninguna Información de Citi, independientemente de su clasificación (es decir, Confidencial o no Confidencial), sin la aprobación de su principal contacto comercial de Citi o del BAO, la cual debe incluir una confirmación que no hay órdenes activas de Retención de registros aplicables a la Información que se pretende eliminar. Los requisitos de conservación y todos los demás requisitos de manejo de información sobrevivirán a la rescisión o vencimiento del Contrato, a menos que se acuerde expresamente lo contrario.

Los Proveedores deben mantener documentación que detalle todo el Personal del Proveedor responsable de supervisar la gestión de Información de Citi bajo la custodia del Proveedor y llevar a cabo reuniones periódicas con su principal contacto comercial de Citi o el oficial de administración de registros (Records Management Officer, RMO) para revisar y actualizar los nombres de contactos, los datos procedimentales, las funciones y responsabilidades, y el Inventario de registros del Proveedor.

Estándares para Proveedores de Citi Pautas para un lugar de trabajo seguro Página 32 de -2

8 PAUTAS PARA UN LUGAR DE TRABAJO SEGURO

Artículo Requisitos

Información de Citi (documentación electrónica e impresa)

La Información de Citi se debe guardar debidamente y bajo llave después del horario normal de trabajo y toda vez que el Proveedor se aleje de su espacio de trabajo designado.

Efectos personales (billetera, agenda, teléfono celular, etc.) y dispositivos informáticos (computadoras portátiles, agendas electrónicas, dispositivos BlackBerry, teléfonos celulares, etc.)

Los efectos personales y los dispositivos informáticos nunca deben dejarse sin supervisión. Citi no se hace responsable por la pérdida de efectos personales o dispositivos informáticos del Proveedor.

Computadoras de escritorio y portátiles

Las computadoras de escritorio y portátiles usadas para ver Información de Citi o acceder a esta deben protegerse con protectores de pantalla y contraseña luego de un período de inactividad. Cada vez que el Proveedor se aleje del lugar de trabajo designado, debe bloquear la computadora de escritorio o portátil con las teclas CTRL + ALT + SUPRIMIR y seleccionar “Bloquear el equipo”. Si el Proveedor utiliza una computadora portátil para ver Información de Citi, debe asegurarse de sujetar la computadora con un cable o candado de seguridad a la base durante el horario de trabajo y guardarla de forma segura después del horario normal de trabajo.

Apagado de computadoras de escritorio

El Proveedor debe cerrar sesión y apagar todas las computadoras de escritorio utilizadas por él antes de irse, a menos que deban quedar encendidas por razones comerciales. Si la estación de trabajo del Proveedor queda encendida, el Proveedor debe asegurarse de bloquearla y de apagar el monitor.

Áreas de almacenamiento

Las áreas debajo de escritorios y la parte superior de gabinetes no deben usarse para almacenar artículos personales en exceso ni materiales que puedan contribuir a un eventual incendio o peligro físico.

Guardado bajo llave Los gabinetes de archivos y las gavetas deben cerrarse con llave después del horario normal de trabajo.

Áreas de oficina abiertas

Las áreas de oficina abiertas no deben usarse como minicentros de datos o servidores de archivos, a menos que estén específicamente diseñadas para ese uso y documentadas en Citi.

Bandejas de impresoras, fotocopiadoras y fax

Toda documentación sensible debe ser retirada de las bandejas de impresoras, fotocopiadoras y fax.

Oficinas privadas/Salas de conferencias

Se aplican todas las pautas de esta política, independientemente de que el Proveedor ocupe o no una oficina. Tenga en cuenta que las oficinas privadas y salas de conferencias no necesariamente son seguras, ni siquiera cuando están cerradas con llave, dado que el Personal de servicio tiene acceso a ellas.

Eliminación

Elimine la Información de Citi que ya no sea necesaria (siga los programas de conservación específicos). Los documentos deben ser triturados o colocados en un recipiente de reciclaje seguro o cerrado con llave. Los medios magnéticos deben eliminarse de forma segura después de seguir los procedimientos de borrado adecuados.

Estándares para Proveedores de Citi Seguridad de la información (IS) Página 33 de -2

9 SEGURIDAD DE LA INFORMACIÓN (IS)

9.1 Descripción general

Esta Sección establece los requisitos para los Proveedores de Citi que almacenen, procesen o administren Información de Citi, o bien, accedan a esta, y/o que alojen aplicaciones de Citi en relación con los controles de protección de información previstos por Citi para asegurar que la información sea protegida de acuerdo con los requisitos legales y reglamentarios aplicables y los más altos estándares de la industria (por ejemplo, ISO/IEC 27002) en los lugares donde Citi y sus Proveedores hacen negocios.

Estos Estándares establecen requisitos mínimos únicamente. Si las leyes, reglamentaciones o estándares locales de la industria pertinente establecen requisitos más estrictos que los estipulados en el presente, los Proveedores deberán cumplir con dichas leyes, reglamentaciones o estándares. Además, los Proveedores pueden tener la obligación de incorporar prácticas y procedimientos adicionales de seguridad de la información como parte de su cumplimiento con otras políticas de Citi, y con los términos y las condiciones de un Contrato.

Si un Proveedor decide implementar prácticas de seguridad adicionales o procedimientos detallados para seguridad de la información, debe asegurar que dichas prácticas y procedimientos no entren en conflicto con los controles mínimos establecidos en esta Sección.

9.2 Política de Seguridad de la información

a. Documentación de políticas de Seguridad de la información

1. Los Proveedores deben tener políticas y estándares documentados en materia de Seguridad de la información. La propiedad de estos documentos debe ser asignada a un funcionario o equipo del Proveedor cuyas responsabilidades incluyan revisiones y actualizaciones anuales (denominados, en lo sucesivo, “Dueños”).

2. El Proveedor debe tener un proceso documentado que describa las funciones, las responsabilidades y la dirección de sus políticas, procedimientos y estándares de seguridad de la información.

b. Revisión de la política de Seguridad de la información La gerencia del Proveedor debe revisar, al menos una vez al año, sus estándares y políticas de seguridad de la información para evaluar su pertinencia organizativa y su congruencia con el estado de la tecnología, los estándares más recientes de la industria, y el cumplimiento con los requisitos legales y reglamentarios, así como con los estándares requeridos por Citi.

9.3 Seguridad de la información organizacional

a. Compromiso de la gerencia con la Seguridad de la información y las evaluaciones

1. Los Proveedores están sujetos al Proceso de Evaluación de Seguridad de la Información de Terceros (Third Party Information Security Assessment, TPISA) de Citi para la evaluación de políticas, procedimientos y controles del


Proveedor en relación con el cumplimiento de estos Estándares y de cualesquiera requisitos legales o reglamentarios (aplicables a Citi o al Proveedor) relativos a la seguridad de la información. La evaluación constará de cuestionarios de seguridad que el Proveedor debe responder y de visitas a los lugares donde la Información Confidencial de Citi se almacene, procese, administre o acceda de algún modo. Si los resultados de TPISA revelan o indican problemas o inquietudes de seguridad, Citi dejará constancia de los resultados en un aviso al Proveedor y trabajará con este en la identificación de medios para corregir los problemas. Los Proveedores deben realizar las correcciones necesarias con prontitud y resolver los problemas a satisfacción razonable de Citi.

2. El Proveedor debe realizar evaluaciones periódicas de sus operaciones comerciales y controles relacionados en función de sus estándares, políticas y procedimientos de seguridad.

3. Las evaluaciones periódicas deben incluir, como mínimo, lo siguiente: i. Evaluación de los procesos que el Proveedor utiliza para asegurar el

cumplimiento de los estándares y la política de Seguridad de la información (Information Security, IS).

ii. Evaluación de los recursos de apoyo, como las aplicaciones y la infraestructura usadas por el Proveedor y los procesos de IS usados por los subcontratistas del Proveedor (si corresponde) que asisten en sus operaciones comerciales.

4. Los problemas identificados como resultado de cualquier evaluación de riesgos de Seguridad de la información deben ser objeto de documentación y seguimiento hasta su conclusión.

5. Si la función de gestión de Seguridad de la información del Proveedor se reubica fuera de las fronteras del país, el Proveedor deberá obtener la aprobación por escrito de Citi.

6. Si el Proveedor adquiere una nueva entidad legal, debe llevar a cabo una evaluación de la entidad legal adquirida para determinar su cumplimiento con estos Estándares de acuerdo con los requisitos de esta sección.

7. El Proveedor no debe subcontratar funciones de gestión de seguridad, tales como la gestión de firewall, la gestión de la configuración de seguridad, la gestión de parches o las funciones de Administración de seguridad de la información (Information Security Administration, ISA) en relación con los sistemas usados para almacenar, procesar y/o transmitir Información de Citi, a menos que Citi lo apruebe con anticipación y por escrito.

8. Si el Proveedor aloja un sitio web que contiene Información de Citi o la marca de Citi, deberá realizar evaluaciones periódicas de vulnerabilidad del sitio web y solucionar de manera oportuna cualquier problema importante que se identifique en las evaluaciones.

9. Si se requiere conectividad a servidores y/o a Sistemas de información de la red interna de Citi, el Proveedor deberá notificarlo a su contacto comercial de Citi para poder seguir el proceso actual de conectividad.

10. El Proveedor debe notificar rápidamente al contacto de Citi que corresponda sobre cualquier acceso o adquisición no autorizados, pérdida, daño o eliminación de Información de Citi, o cualquier otro riesgo para los Sistemas de información usados para almacenar, procesar y/o transmitir Información de Citi.


9.4 Terceras Partes

a. Identificación de riesgos relacionados con terceras partes 1. El Proveedor debe notificar a Citi, por escrito, sobre cualquier intento de usar

subcontratistas para asistir en las operaciones que involucren Información de Citi. Si Citi presta su consentimiento para la contratación de subcontratistas:

i. El Proveedor deberá firmar con cada eventual subcontratista un Acuerdo de confidencialidad (NDA) o un acuerdo que contenga obligaciones de confidencialidad adecuadas de parte del subcontratista antes de tratar o intercambiar Información de Citi, y dicho acuerdo deberá tener validez durante todo el tiempo que la Información de Citi esté disponible para dicho subcontratista.

ii. Debe verificarse si el subcontratista figura en la lista de sanciones estadounidenses y no estadounidenses aplicables, y en la lista de jurisdicciones sujetas a sanciones.

2. El Proveedor debe garantizar la debida seguridad de la Información y los Sistemas de información de Citi a los que los subcontratistas accedan o que procesen, eliminen o administren.

i. El Proveedor debe garantizar que la seguridad de la Información y los Sistemas de información de Citi no se vean comprometidos por los productos o servicios suministrados por un subcontratista.

ii. El Proveedor debe revisar de manera periódica los controles de seguridad de la información de los subcontratistas que alojan una aplicación de la marca Citi accesible a través de Internet o a los que se les haya otorgado acceso a la Información de Citi.

iii. El Proveedor debe evaluar cada año su relación con aquellos subcontratistas que reúnen los criterios especificados anteriormente para determinar si es necesaria una revisión de sus controles de seguridad.

3. Cuando se deba dar acceso a la Información de Citi a otros terceros o subcontratistas fuera de la supervisión de la gerencia y las instalaciones del Proveedor, se deberán contemplar requisitos adecuados de seguridad de la información en un acuerdo documentado entre el Proveedor y la parte adicional que incluya lo siguiente:

i. El derecho a realizar de forma periódica una evaluación de seguridad de la información o una auditoría similar, sustancialmente congruente con la evaluación que Citi puede realizar al Proveedor y la obligación de solucionar, previa solicitud, cualquier problema importante hallado en la evaluación o de establecer los controles compensatorios correspondientes.

ii. El requisito de que la parte notifique de inmediato al Proveedor cuando se produzca un acceso no autorizado a información de Citi o la adquisición no autorizada de esta, o cualquier otro riesgo para los Sistemas de información usados para almacenar, procesar o transmitir Información de Citi.

iii. Requisitos para que la parte realice todos los esfuerzos razonables para devolver o destruir toda la Información de Citi en un momento acordado durante o al finalizar el acuerdo.

iv. Requisitos que el subcontratista y los empleados del subcontratista contratados para las asignaciones de Citi estén sujetos a


verificaciones en la lista de sanciones estadounidenses y no estadounidenses aplicables, y en la lista de jurisdicciones sujetas a sanciones.

v. El requisito que los subcontratistas limiten el acceso a la Información de Citi solo a los empleados de los subcontratistas que necesiten acceder a esta para prestar los servicios subyacentes al Proveedor.

vi. La obligación del subcontratista de usar la información solo para el propósito de prestar los servicios al Proveedor, y de no divulgar la Información a ninguno de sus subcontratistas o a terceros sin el permiso por escrito de Citi, a menos que lo exija la ley.

vii. El derecho a rescindir el acuerdo, previo aviso a la parte, si los requisitos de seguridad del Proveedor cambian y la parte no acepta dichos cambios.

4. Los acuerdos con partes que requieren el acceso o la conectividad a servidores y Sistemas de información en la red interna del Proveedor deben incluir, además de los requisitos anteriores, el derecho del Proveedor de revocar el acceso o interrumpir la conexión entre el Proveedor y los sistemas de la parte.

5. Todo uso de un Proveedor de servicios de nube externo que implique información Confidencial o de nivel superior o que actúe como sistema de producción debe ser aprobado por Citi antes de implementarse y una vez al año, en lo sucesivo.

9.5 Gestión de recursos de información

a. Inventario de recursos de información 1. El Proveedor debe asegurarse de mantener un Inventario de todas las

aplicaciones y hardware bajo su control, que se utilicen para almacenar, procesar y/o transmitir Información de Citi.

2. El Proveedor debe asegurarse de mantener un Inventario de los activos de información de Citi bajo su control.

3. Si el Proveedor utiliza identificaciones funcionales en Sistemas de información de Continuidad de negocios (CoB) y Producción, las identificaciones se deben mantener en un inventario junto con sus atributos clave.

b. Protección de recursos de información 1. El Proveedor debe ser responsable de proteger toda la Información de Citi

bajo su control. 2. No se deben crear identificaciones funcionales en Sistemas de información

de CoB y Producción donde resida Información de Citi, a menos que se designe a un dueño.

c. Acceso y uso aceptable de recursos de información 1. El Proveedor debe asegurar la responsabilidad en relación con la actividad

de sus usuarios, de manera congruente con las prácticas de la industria. 2. El acceso de usuarios a cuentas de correo electrónico en Internet externas y

personales debe restringirse desde la red global del Proveedor donde resida Información de Citi.


d. Clasificación de la información 1. Citi clasifica la información conforme a las siguientes categorías:

RESTRINGIDA

CONFIDENCIAL

INTERNA

PÚBLICA La información personal identificable (Personally Identifiable Information, PII) confidencial es un subgrupo de la información confidencial, y la PII interna es un subgrupo de la información interna. En estos casos, los datos deben cumplir con todos los requisitos de las clasificaciones como información confidencial e interna, respectivamente, y con los requisitos adicionales para PII.

AUTENTICACIÓN La autenticación es una clasificación diferente con sus propios requisitos, tal como se define en los estándares. Es completamente independiente de las otras clasificaciones de información.

e. Etiquetado, manejo y almacenamiento de información 1. Según la clasificación de la Información de Citi, el Proveedor debe

especificar el nivel de seguridad requerido para proteger dicha información y asegurar que se implementen los controles adecuados, además de cualquier modificación o aumento de nivel que Citi pueda establecer posteriormente.

2. La Información de Citi debe almacenarse en lo siguiente:

i. dispositivos y aplicaciones administrados según las políticas y los estándares de seguridad de la información del Proveedor;

ii. dispositivos administrados por subcontratistas que cumplan con las políticas y los estándares de seguridad de la información del Proveedor.

3. Solo la información clasificada por Citi como Pública puede almacenarse en dispositivos pertenecientes al Personal del Proveedor (por ejemplo, computadoras del hogar, agendas electrónicas y aplicaciones móviles de correo electrónico e Internet).

9.6 Seguridad física y del entorno

a. Seguridad contra incendios 1. El Proveedor debe cumplir con los correspondientes requisitos legales y

reglamentarios que rigen la seguridad física y la creación de un entorno de trabajo seguro, incluidos los códigos locales de prevención de incendios.

2. El Proveedor debe utilizar sistemas de detección, alarma y extinción de incendios. Estos sistemas deben ser inspeccionados y probados una vez al año.

b. Seguridad física 1. La Información de Citi debe ser almacenada en áreas seguras con controles

que restrinjan el acceso solo a Personal autorizado. 2. El Proveedor debe contar con un sistema de acceso físico documentado y

auditable.


3. El Proveedor debe usar una combinación de sistemas de detección de intromisiones y de alarma de seguridad que incluyan una alarma de seguridad monitoreada por un tercero, guardias de seguridad y videovigilancia, según corresponda, para el entorno y los servicios suministrados.

4. El Proveedor debe tener una política de visitas documentada que incluya el requisito que todos los visitantes muestren una identificación verificable al llegar, y al registrar la entrada y la salida.

9.7 Gestión de comunicaciones y operaciones

a. Procedimientos operativos documentados El Proveedor debe implementar un Ciclo de vida de desarrollo de sistemas protegido (Secure System Development Life Cycle, S-SDLC), de conformidad con los estándares mínimos de Citi, si presta servicios de desarrollo de software a Citi.

b. Administración de cambios El Proveedor debe contar con un proceso de administración de cambios documentado.

c. Segregación de funciones 1. El Proveedor debe implementar procesos para asegurar que ninguna

persona con acceso a Información de Citi pueda realizar dos funciones comerciales o funciones de Sistemas de información controlada con acceso permanente a una misma actividad y/o cambio, sistemas de información controlada o de transacción, sin ser autorizada o detectada, a menos que existan controles compensatorios adecuados para mitigar el riesgo. Actualmente, las únicas excepciones reconocidas son las siguientes:

i. Un usuario puede iniciar o aprobar una transacción real y participar a su vez en la evaluación de nuevos requisitos para el mismo Sistema de información de Citi en un entorno no productivo.

ii. Un usuario con función de desarrollo puede brindar apoyo a producción, pero solo podrá tener acceso permanente al Sistema de información de Citi si dicho acceso es solo de lectura o visualización, y no incluye acceso a datos PII Confidenciales o Restringidos.

2. Una persona con función de desarrollo o certificación que necesite brindar apoyo para reparación de fallas utilizando la función de implementación debe usar un acceso privilegiado temporario al Sistema de información controlada.

3. Una persona que necesite actualizar los datos de producción fuera de los controles de aplicación debe usar un acceso privilegiado temporario.

4. En todas las actividades de cambio, se deben seguir los procedimientos estándares de la industria para el control de cambios.

5. La responsabilidad operativa por las operaciones en red debe estar separada de la responsabilidad por operaciones informáticas.

d. Separación de instalaciones operativas, de prueba y de desarrollo


Cuando corresponda, el Proveedor debe asegurarse de que todos los entornos de desarrollo, prueba y producción estén separados de manera física y/o lógica entre sí.

e. Prestación de servicios El Proveedor debe tener acuerdos documentados con los subcontratistas que tengan acceso a Información de Citi, que cumplan debidamente con los Estándares de Citi, además de mecanismos para asegurar el cumplimiento de dichos subcontratistas con esos acuerdos y estos Estándares.

f. Administración de capacidad El Proveedor debe contar con un proceso documentado de administración de la capacidad que cumpla con los estándares pertinentes de la industria.

g. Aceptación de sistemas El Proveedor debe contar con procesos documentados de aceptación de sistemas y gestión del alcance de proyectos que cumplan con los estándares pertinentes de la industria.

h. Controles contra códigos maliciosos El Proveedor debe asegurarse de tomar las precauciones necesarias para prevenir y detectar la introducción de cualquier código malicioso (por ejemplo, virus, gusanos, troyanos, adware, spyware), e implementar controles de prevención, detección y recuperación para protegerse de códigos maliciosos. El Proveedor debe:

i. Implementar, actualizar y mantener tecnologías antivirus y antispyware en todas las computadoras personales y tecnologías antivirus en todos los servidores de red de área local (Local Area Network, LAN), servidores de correo y otros dispositivos que almacenen, procesen y/o transmitan Información de Citi.

ii. Establecer una estrategia de bloqueo apropiada en el perímetro de la red.

iii. Implementar controles técnicos y de procesos para asegurar que el Personal no acceda a cuentas de correo electrónico externas en Internet o a sitios web no relacionados con el negocio desde la red del Proveedor.

iv. Implementar una infraestructura perimetral que tenga la capacidad para bloquear el acceso a sitios de Internet que se consideren no relacionados con el negocio o supongan un riesgo para la seguridad de la información.

i. Controles contra código móvil Los Proveedores deben asegurarse de tomar las precauciones necesarias para controlar debidamente el uso de código móvil. Cuando se autorice el uso de código móvil, la configuración debe cumplir, como mínimo, con todos los estándares de la industria y las obligaciones contractuales con Citi, asegurar que el código móvil autorizado funcione de acuerdo con una política de seguridad documentada y claramente definida, y prevenir la ejecución no autorizada del código móvil.


En el caso de un código móvil que pueda afectar el sistema operativo o plataforma subyacente (es decir, fuera de la “zona protegida”), el Proveedor debe asegurar lo siguiente:

i. El código móvil publicado por el Proveedor debe ser firmado por una Autoridad de certificación aprobada por Citi y el ciclo de vida del certificado debe ser administrado por el Proveedor en cuanto a su vencimiento o rotación.

ii. El código móvil firmado con certificados vencidos debe ser quitado de producción.

j. Controles de red 1. Las redes del Proveedor usadas para almacenar, procesar y/o transmitir

Información de Citi deben estar protegidas contra las amenazas, y se debe mantener la seguridad de los Sistemas de información que usen la red. Esto incluye información que se encuentra en tránsito en la red.

2. La información clasificada como Confidencial o de nivel superior de Citi no debe almacenarse de forma continua en un sistema dentro de una zona desmilitarizada (Demilitarized Zone, DMZ) conectada a Internet.

3. En relación con redes usadas para almacenar, procesar y/o transmitir Información de Citi, el Proveedor debe asegurar lo siguiente:

i. Que solo las redes inalámbricas de área local (Wireless Local Area Network, WLAN) u otras soluciones de dispositivos inalámbricos que incluyan controles razonables para prohibir el acceso no autorizado (PEAP-TLS, EAP-TTLS, etc.) se puedan conectar a redes que contengan Información de Citi;

ii. Que todas las conexiones IP externas a la red global del Proveedor estén protegidas por un firewall administrado por el Proveedor;

iii. Que exista un Sistema de detección de intromisiones (Intrusion Detection System, IDS) o un Sistema de prevención de intromisiones (Intrusion Prevention System, IPS) en tiempo real que monitoree y proteja las conexiones de Internet a la red del Proveedor donde se almacene, procese o transmita Información de Citi;

iv. Que todas las aplicaciones y servicios de Internet con la marca Citi alojados en sitios del Proveedor tengan servicios contra ataques distribuidos de negación de servicio (Distributed Denial of Service, DDoS) aprobados por Citi o controles equivalentes validados por Citi;

v. Que los firewalls externos se configuren con la opción “denegar todo” como regla predeterminada. Las reglas de firewall deben configurarse sobre la base del principio de privilegios mínimos.

k. Gestión de medios extraíbles 1. El Proveedor debe proteger la Información de Citi, independientemente de

los medios en los que esta se almacene. Este Estándar se aplica, entre otros, a los siguientes tipos de medios en los cuales se almacena la información: tarjeta, casete, disco compacto (CD), talón de cheque, disquete u otro dispositivo de almacenamiento extraíble, copia impresa, disco magnético, cinta magnética, microfilme, microficha, disco óptico o documentos en papel.


2. La configuración predeterminada para acceder a dispositivos de almacenamiento y medios portátiles en los sistemas donde se almacena Información de Citi debe ser de lectura únicamente. Si se otorgan excepciones y se permite el acceso de lectura y escritura, los datos del dispositivo de almacenamiento portátil deben estar cifrados.

l. Eliminación de medios Cuando la Información de Citi clasificada como Confidencial o de nivel superior sea elegible para su eliminación de acuerdo con las instrucciones establecidas por Citi (es decir, en el momento en que la información ya no sea necesaria o útil para Citi, o luego de cualquier período adicional de conservación exigido por las leyes, reglamentaciones y/o políticas de Citi), el Proveedor debe destruir dicha información de modo que resulte inutilizable e irrecuperable.

m. Procedimientos de manejo de información 1. El Proveedor siempre debe proteger la Información de Citi contra el acceso,

la modificación o la eliminación no autorizados. 2. La Información de Citi colocada en Medios electrónicos transportables

(Electronic Transportable Media, ETM) debe ser transmitida de forma segura y su entrega debe ser confirmada. El Proveedor debe confirmar que el destinatario indicado reciba los ETM en la fecha prevista de entrega y hacer un seguimiento con el destinatario hasta el momento en que se confirme la entrega. Si no se recibe confirmación de recepción para la fecha prevista de entrega, el Proveedor debe notificar a Citi.

n. Mensajería electrónica La mensajería instantánea, las redes punto a punto u otras herramientas de colaboración de Internet no pueden usarse para transmitir o almacenar Información de Citi fuera de la red del Proveedor o desde redes que contienen Información de Citi, a menos que se realice el cifrado correspondiente de todos los datos de Citi según la Sección 9.9c (Política sobre el uso de controles criptográficos).

o. Comercio electrónico Los Sistemas de información usados para almacenar, procesar y/o transmitir Información de Citi que usan contraseñas dinámicas o certificados digitales deben emplear servicios de autenticación que, según los analistas de la industria, cumplan con todos los criterios mínimos de seguridad de la información para validar las credenciales.

p. Transacciones en línea 1. Cuando corresponda, el Proveedor debe tener sistemas de información que

usen contraseñas dinámicas o certificados digitales para validar las credenciales.

2. La vigencia de todos los certificados debe renovarse, al menos, una vez cada dos años.


3. En el caso de todos los sitios web conectados a Internet y comunicaciones punto a punto entre Citi y el Proveedor, se deben usar certificados de Validación extendida (Extended Validation, EV).

4. Todas las aplicaciones del Proveedor que almacenen, procesen o transmitan Información de Citi deben:

i. Contar con un método de Autenticación sobre la base de los tipos de datos/funciones a los que otorgan acceso. El Proveedor debe comunicarse con su principal contacto comercial en Citi para conocer los requisitos actuales.

ii. Realizar una evaluación de cumplimiento de Autenticación de factores múltiples (Multifactor Authentication, MFA). El Proveedor debe comunicarse con su principal contacto comercial en Citi para conocer los requisitos actuales.

iii. Implementar una solución de Detección de actividad sospechosa (Suspicious Activity Detection, SAD) en línea. El Proveedor debe comunicarse con su principal contacto comercial en Citi para conocer los requisitos actuales.

q. Registros de auditoría El Proveedor debe asegurar que todos los Sistemas de información controlada usados para almacenar, procesar y/o transmitir Información de Citi utilicen registros de auditoría a nivel de infraestructura o aplicación para registrar lo siguiente:

1. Se deben registrar las acciones pertinentes a seguridad de infraestructura para la plataforma asociada.

2. Se deben registrar todas las alarmas del sistema asociadas a un evento de seguridad generado por un firewall o IDS/IPS.

3. Se deben registrar todos los intentos de violación de la seguridad del sistema (por ejemplo, los intentos fallidos de inicio de sesión de usuarios).

4. Se deben registrar todos los eventos significativos relacionados con transacciones financieras e Información de Citi que incluyan específicamente lo siguiente:

i. actualizaciones en transacciones financieras; ii. actualizaciones en datos de PII Confidenciales; iii. actualizaciones en datos Restringidos; iv. actualizaciones en datos de Autenticación.

5. Los artefactos de sesión (dirección IP, como mínimo, u otra información pertinente), tal como la identificación única de dispositivo, se deben capturar, si es técnicamente posible, y registrar en el caso de aplicaciones conectadas a Citi (sitios web y aplicaciones móviles) para respaldar investigaciones de fraude. Estos artefactos se deben capturar en transacciones de Citi y actividades de apertura de cuentas de Citi. La información debe capturarse de tal modo que el artefacto de sesión se pueda vincular a la transacción o apertura de cuenta.

6. Se deben registrar los eventos significativos de ISA, en especial, lo siguiente: i. creación de usuarios; ii. modificación de derechos de acceso de usuarios; iii. eliminación, creación y modificación de roles/perfiles en el Sistema de

información controlada; iv. reestablecimiento de contraseña;


v. cambios en la configuración de seguridad del sistema. 7. Se debe registrar toda la actividad interactiva de identificaciones funcionales

privilegiadas. 8. Los registros de seguridad deben contener, al menos, la siguiente

información, independientemente del sistema que genere el registro, a menos que no sea técnicamente posible:

i. fecha y hora del evento (hora en formato UTC); ii. identificación de usuario de la persona que realiza la acción; iii. tipo de evento; iv. activo o nombre de recurso afectado; v. tipo de acceso (eliminar, modificar, etc.); vi. éxito o falla del evento; vii. origen (terminal, puerto, ubicación, IP, nombre de host, etc.).

r. Monitoreo del uso de sistemas 1. Los siguientes eventos deben ser capturados, registrados y revisados

directamente o a través de un proceso de revisión automatizado: i. Deben revisarse todas las alarmas de sistema asociadas a un evento

de seguridad generado por un firewall o IDS/IPS. 2. Eventos significativos de ISA, como se establece en la Sección 9.7q

(Registros de auditoría), a excepción de lo siguiente: i. Eliminación de derechos de usuario, rol o perfil. ii. Cuando la actividad de Administración de seguridad de la información

sea ejecutada por un sistema de ejecución o flujo de trabajo automatizado que tenga controles de integridad de un extremo a otro.

3. Todas las actualizaciones de recursos críticos, tal como se identifica en el procedimiento de creación estándar seguro.

4. Se debe revisar toda la actividad interactiva realizada por identificaciones funcionales privilegiadas.

s. Protección de la información de registros 1. El Proveedor debe asegurarse de tener controles de acceso para preservar

la integridad de los registros de auditoría: i. durante el inicio y el apagado; ii. en almacenamiento y durante la transmisión.

2. Para evitar modificaciones no autorizadas en los registros de auditoría, el Proveedor debe asegurar que estos no sean sobrescritos o modificados por los usuarios del sistema cuya actividad se está registrando.

3. El Proveedor debe establecer el período de conservación de los datos de registro de conformidad con todos los requisitos legales y reglamentarios aplicables, y mantener y cumplir dichos requisitos de conservación.

t. Sincronización de relojes Los relojes de todos los sistemas de procesamiento de información relevantes dentro de una organización o dominio de seguridad deben estar sincronizados con una fuente horaria precisa.


9.8 Control de acceso

a. Política de control de acceso 1. El Proveedor debe implementar controles de acceso que:

i. estén totalmente documentados; ii. sean auditables.

2. El Proveedor debe proteger todos los Sistemas de información controlada usados para almacenar, procesar y/o transmitir Información de Citi contra el acceso no autorizado, y debe asegurarlos mediante productos, funciones o procesos de seguridad acordes a los niveles de riesgo de IS de los Sistemas de información y a la clasificación de información que corresponda.

3. El Proveedor es responsable de los derechos de acceso de los usuarios de su organización.

4. El aprobador de acceso debe asignar privilegios mínimos para el acceso de todos los usuarios de Sistemas de información controlada usados para almacenar, procesar y/o transmitir Información de Citi, a fin de aplicar el conjunto de derechos y privilegios más restrictivo al acceso que necesitan dichos usuarios para realizar su trabajo.

5. El acceso privilegiado temporario a Sistemas de información controlada debe seguir un proceso documentado de liberación de cuenta o contraseña que: i. Exija al solicitante estar en una lista preaprobada de usuarios

autorizados o tener una autorización al momento del uso. ii. Requiera la justificación documentada de un vale de problema o

cambio antes de otorgar el acceso. iii. Incluya una revisión independiente de la actividad realizada con el

acceso. iv. Incluya un proceso para revocar o quitar el acceso después de un

período predefinido de no más de 24 horas. v. Permita extender el acceso hasta siete días calendario, para

producción y estabilización postimplementación, tal como después de una actualización importante o de una resolución con reparación de fallas.

b. Registro de usuarios 1. El Proveedor debe asegurar que ningún usuario tenga acceso particular a un

Sistema de información controlada usado para almacenar, procesar y/o transmitir Información de Citi, sin la aprobación de su gerente o la persona que este designe.

2. El acceso privilegiado permanente de un usuario a un Sistema de información controlada usado para almacenar, procesar y/o transmitir Información de Citi solo puede otorgarse cuando se cumplen todas las condiciones siguientes. i. La justificación del acceso permanente se documenta como parte de la

aprobación. ii. El gerente del usuario y el dueño o delegado de información del

Sistema de información controlada aprueban el acceso. 3. Todas las identificaciones funcionales nuevas o cambios en identificaciones

funcionales existentes de Sistemas de información de Producción y CoB deben ser aprobados por el dueño o delegado de la identificación y el dueño


del Sistema de información en el que esta reside, como parte del proceso de creación y/o modificación de identificaciones.

4. El dueño o delegado de cualquier identificación funcional privilegiada debe aprobar las adiciones a la lista de usuarios autorizados, si dicha lista existe.

c. Administración de privilegios 1. El Proveedor debe implementar controles de acceso que aseguren que los

usuarios solo reciban aquellos privilegios y derechos necesarios para realizar su función.

2. El Proveedor debe implementar un proceso para asegurar que todas las capacidades de acceso predeterminadas se eliminen, deshabiliten o protejan para evitar su uso no autorizado.

3. El acceso directo a una identificación funcional privilegiada debe otorgarse a través de un proceso de acceso privilegiado temporario.

d. Revisión de derechos de acceso de los usuarios 1. El Proveedor debe implementar un proceso documentado para revisar,

verificar y eliminar los derechos de usuario innecesarios a Sistemas de información controlada usados para almacenar, procesar y/o transmitir Información de Citi.

2. El Proveedor debe revisar todos los derechos de usuarios al menos cada seis meses y eliminar los accesos innecesarios.

3. Los usuarios no deben revisar o aprobar sus propios derechos o los de una persona que les haya delegado responsabilidad de revisión.

4. El dueño o delegado de identificaciones debe revisar una vez al año los derechos de todas las identificaciones funcionales privilegiadas no fijas de Sistemas de información de Producción y Continuidad de Negocio.

e. Uso de contraseñas 1. Las contraseñas estáticas de usuarios nunca deben compartirse, escribirse

ni revelarse a otras personas. 2. Las contraseñas de identificaciones funcionales interactivas privilegiadas de

Sistemas de información de Producción y Continuidad de Negocio no deben compartirse.

f. Política de escritorio limpio y pantalla limpia El Personal del Proveedor debe proteger la Información de Citi en todas sus formas, incluida la información física usada o almacenada en su espacio de trabajo.

g. Autenticación de usuarios para conexiones externas 1. El acceso remoto a Sistemas de información usados para almacenar,

procesar y/o transmitir Información de Citi debe protegerse contra el uso no autorizado.

2. Si el Proveedor permite el acceso remoto de personas a su red, debe asegurar que el acceso remoto esté protegido por una autenticación basada en un token o certificado, utilizando tecnologías de acceso remoto estándar (por ejemplo, VPN, Citrix, etc.).


h. Identificación de equipos en redes 1. Solo los dispositivos del Proveedor (es decir, hardware, incluidas, entre otras

cosas, las computadoras de escritorio, computadoras portátiles y medios de almacenamiento de datos extraíbles) que cumplan con estos Estándares y que sean autorizados por el Proveedor pueden acceder a la red del Proveedor en la que se almacene, procese o transmita Información de Citi.

2. Solo los dispositivos del Proveedor (es decir, hardware, incluidas las computadoras de escritorio, computadoras portátiles y medios de almacenamiento de datos extraíbles, entre otros) que cumplan con estos estándares y que sean autorizados por Citi podrán acceder a la red de Citi.

i. Segregación en redes 1. El Proveedor debe asegurarse que todos los sistemas de información y las

aplicaciones usadas para almacenar, procesar y/o transmitir Información de Citi y sean accesibles a través de Internet, sean accesibles solo a través de la zona desmilitarizada (DMZ) del Proveedor.

2. Durante un evento de emergencia, el Proveedor debe ser capaz de filtrar el acceso entre las distintas partes de la red para reducir el impacto de eventos de seguridad de red (por ejemplo, filtrado de puertos durante un ataque de virus).

3. El personal de Acceso Remoto y Seguridad de Host debe implementar controles de acceso basados en grupos (por ejemplo, personal, subcontratistas) para limitar el acceso a recursos de red en la red del Proveedor. A nivel de host, el control de acceso se puede hacer a nivel individual o grupal.

j. Procedimientos de inicio seguro de una sesión Las identificaciones de inicio de sesión asociadas a una contraseña estática deben deshabilitarse luego de un máximo de seis intentos consecutivos fallidos de inicio de sesión.

i. Las identificaciones funcionales están exentas del requisito de bloqueo de identificaciones de inicio de sesión luego del número establecido de intentos fallidos.

ii. Las identificaciones de inicio de sesión bloqueadas deben volver a habilitarse a través de un servicio de restablecimiento estándar de la industria u otra función autorizada.

k. Identificación y autenticación de usuarios 1. Todos los sistemas de información controlada del Proveedor deben

autenticar la identidad de los usuarios o sistemas que accedan a estas plataformas antes de iniciar una sesión o transacción desde la que se pueda acceder a Información de Citi.

2. Todos los usuarios deben: i. Ser identificados o asignados de manera única a la plataforma de

tecnología mediante una identificación de usuario. ii. Ser autenticados en la plataforma de tecnología utilizando un método

de autenticación. El Proveedor debe comunicarse con su contacto comercial principal para conocer los métodos aprobados actuales.


Todo uso de infraestructura de autenticación compartida (por ejemplo, inicio de sesión único, inicio de sesión reducido y otros servicios de autenticación compartida) deben guardar conformidad con los requisitos de autenticación. El Proveedor debe comunicarse con su contacto comercial principal para conocer los métodos aprobados.

iii. Los dueños de identificaciones funcionales deben asegurar que se implementen procesos que demuestren con claridad la responsabilidad por el acceso interactivo.

l. Sistema de administración de contraseñas 1. Las contraseñas estáticas de usuarios nunca deben mostrarse en pantalla

con texto visible. Las contraseñas de identificaciones funcionales privilegiadas interactivas no deben ser preprogramadas en texto visible.

2. Las contraseñas estáticas (a excepción de los PIN) deben constar de un mínimo de seis caracteres, los cuales deben incluir letras y números, y si es técnicamente posible, distinguir entre mayúsculas y minúsculas.

3. Los PIN pueden usarse como único método de autenticación para acceder a Sistemas de información solo si son necesarios para satisfacer límites físicos del dispositivo (por ejemplo, teclado, teléfono, tarjeta inteligente).

4. Todas las contraseñas estáticas deben cambiarse cada 90 días como mínimo. Las contraseñas estáticas de identificaciones funcionales están exentas de este requisito. También tenga en cuenta lo siguiente:

i. Las identificaciones funcionales pueden configurarse para no tener vencimiento.

ii. Todos los sistemas de autenticación deben aplicar un control de no uso o inactividad de inicio de sesión que no exceda los 100 días si es técnicamente posible (las identificaciones funcionales e identificaciones de inicio de sesión de clientes están exentas de este requisito). Los inicios de sesión deshabilitados pueden volver a ser habilitados por el usuario u otra función autorizada.

iii. El proceso de autenticación debe asegurar que no se utilice la misma contraseña usada en los últimos seis cambios, como mínimo.

m. Uso de utilidades del sistema El Proveedor debe asegurar que el uso de programas de utilidades capaces de anular controles de aplicaciones y sistemas (por ejemplo, el arranque desde dispositivos periféricos) sea restringido y controlado.

n. Cierre de sesión por inactividad 1. Para todos los usuarios de un Sistema de información controlada usado para

almacenar, procesar y/o transmitir Información de Citi, se debe requerir la reautenticación o el reinicio de sesión.

2. La reautenticación de usuarios se debe exigir luego de un período de inactividad no superior a los 30 minutos. La actividad incluye cualquier entrada desde un extremo (mouse, teclado, pantalla táctil, etc.). Cuando este requisito se cumpla con un protector de pantalla protegido con contraseña, no se requiere su cumplimiento mediante inicio de sesión único o aplicación.


o. Computación y comunicaciones móviles 1. Todas las computadoras portátiles y de escritorio administradas por el

Proveedor usadas para almacenar, procesar y/o transmitir Información de Citi que utilicen acceso remoto para acceder al almacenamiento local o procesamiento de Información de Citi clasificada como Confidencial o Restringida deben cifrarse con una herramienta de cifrado que cumpla con los estándares de la industria.

2. Los equipos administrados por el Proveedor deben tener un firewall personal activo cuando se conecten directamente (es decir, no a través de un firewall o proxy administrado por el Proveedor) a Internet.

3. Cualquier Aplicación móvil de Citi debe estar firmada y ser publicada en mercados móviles (por ejemplo, iTunes) por Citi.

p. Teletrabajo Toda conectividad a la red del Proveedor debe usar soluciones de conectividad remota aprobadas que cumplan con los estándares antedichos.

9.9 Adquisición, desarrollo y mantenimiento de sistemas de información

a. Análisis y especificación de requisitos de seguridad 1. El Proveedor debe incorporar procedimientos de seguridad de la información

en sus procesos y procedimientos para la selección, el desarrollo y la implementación de aplicaciones, productos y servicios.

2. El Proveedor debe tener un procedimiento de creación seguro para todos los sistemas donde se almacene, procese y/o transmita Información de Citi.

3. El procedimiento seguro de creación debe incluir herramientas para admitir la comprobación automatizada de configuración para los ajustes estándares y de seguridad de creación al momento de la implementación en producción.

b. Validación de entradas de datos 1. Los Proveedores deben tener controles para la protección contra amenazas

a la seguridad en línea (por ejemplo, secuencia de comandos entre sitios, inyección SQL, etc.).

2. La validación de entradas se debe implementar para todas las aplicaciones de Internet e Intranet.


c. Política sobre el uso de controles criptográficos La siguiente tabla describe los requisitos de cifrado. Para transmisiones que impliquen Información de Citi clasificada como PII Confidencial o de nivel superior, el cifrado debe tener lugar de aplicación a aplicación o de servidor a servidor. Cuando la información sea almacenada o transmitida por una aplicación alojada en el Proveedor, el Proveedor será responsable del cumplimiento.

Función/Datos Cifrar en transmisión3

Cifrar en almacenamiento permanente

Datos restringidos Todos los entornos Todos los entornos

Datos de autenticación

Todos los entornos

(a) Todos los entornos

(a)

Datos PII confidenciales

Internet Todos los entornos (aplicaciones nuevas) (b)

(b) (c)

Datos confidenciales Internet (b)

(b)

Acceso remoto Todos los entornos N/A

(a) Datos de autenticación: las contraseñas de uso único, dinámicas y vencidas

previamente no necesitan cifrarse durante la transmisión y en almacenamiento. (b) Los datos Confidenciales o PII Confidenciales deben cifrarse cuando se transmiten o

almacenan permanentemente dentro de una infraestructura no administrada por Citi que no cumple con los estándares de seguridad de Citi.

(c) Los datos de PII confidenciales usados para la verificación de identidad (p. ej.,

historial de transacciones, información crediticia, dirección, entre otras cosas) no están sujetos a los requisitos adicionales de cifrado para datos de autenticación.

Además del requisito de cifrado anterior, se han definido criterios adicionales para los siguientes entornos:

3 La transmisión de datos puede tener lugar de diferentes formas, tales como transferencias electrónicas de archivos (por ejemplo, FTP, NDM), tráfico web, correo electrónico y comunicaciones entre procesos (por ejemplo, de aplicación a aplicación) utilizando diferentes protocolos.


1. Correo electrónico individual externo: el requisito de cifrado para correos electrónicos individuales que contengan Información de Citi clasificada como Confidencial (no PII) entre Citi y el Proveedor, cuando el Proveedor no tenga permitido usar software o herramientas de cifrado de extremo a extremo aprobadas por Citi según la reglamentación y/o política del Proveedor, podrá cumplirse debidamente mediante el cifrado en el transporte (por ejemplo, cifrado entre puntos de acceso con Seguridad de la capa de transporte [Transport Layer Security, TLS]).

2. Bases de datos: La información restringida almacenada en bases de datos se puede almacenar sin cifrar siempre y cuando se utilice un Sistema de gestión de bases de datos aprobado por Citi (aprobado para el almacenamiento de información restringida). Esta exclusión no aplica a los datos de Autenticación (por ejemplo, contraseñas) que deben cifrarse.

3. Redes privadas: Las redes privadas que son reguladas de manera independiente por una autoridad reconocida y se consideran un estándar de la industria de servicios financieros para hacer negocios entre contrapartes con licencia o autorizadas (por ejemplo, SWIFT o un banco central) pueden considerarse exentas del requisito de cifrar PII Confidencial en tránsito hasta el momento en que dichas redes provean la infraestructura necesaria para admitir totalmente las transmisiones cifradas.

4. Terceras partes: Cuando el Proveedor suministra información de Citi clasificada como Confidencial o de nivel superior a un tercero o parte externa (subcontratista), dicha parte debe cumplir con estos requisitos de cifrado o tener controles equivalentes validados por una evaluación de IS y aceptados por el Proveedor. (Dicha información debe cifrarse en tránsito hacia o desde el subcontratista cuando se envía por vía electrónica).

5. Voz y fax: La información de Citi clasificada como Confidencial o de nivel superior enviada por fax o tratada en llamadas de voz (incluso de voz por IP [Voice Over IP, VOIP]) puede enviarse sin cifrar. Si se requiere, el Proveedor debe desarrollar guías y procedimientos específicos para proteger la información Confidencial o de nivel superior que se transmite por estos canales.

d. Administración de claves 1. Para implementar el cifrado, se deben usar algoritmos criptográficos

estándares de la industria y longitudes mínimas de claves. 2. Las redes inalámbricas deben cifrarse con algoritmos de cifrado estándares

de la industria. 3. Los Proveedores que utilicen cualquier forma de mecanismo criptográfico

deben usar herramientas y técnicas estándares de la industria para la administración de claves.

e. Control de software operativo 1. El Proveedor debe asegurar lo siguiente:

i. Que solo se utilicen sistemas operativos y software que reciban soporte actualmente de un proveedor comercial aceptado en la industria o tengan


una versión activa o apropiada de parches y actualizaciones de configuración disponibles para resolver problemas de seguridad.

ii. Que se implemente un proceso documentado que especifique los períodos en los cuales se aplican todos los parches y configuraciones de seguridad aprobados.

2. El Proveedor debe asegurar que, independientemente de cualquier acuerdo de mantenimiento por separado entre el Proveedor y Citi, el software desarrollado para Citi y sujeto a un acuerdo de licencia: i. No requiera el uso de versiones de software no admitidas con

vulnerabilidades conocidas. ii. Reciba actualizaciones y parches según se requiera, de forma oportuna.

f. Protección de datos de prueba de sistemas 1. La Información de Citi clasificada como PII Confidencial o de nivel superior

no puede ingresarse en un sistema no productivo sin la autorización expresa y por escrito de Citi.

2. Cuando el Proveedor reciba el permiso por escrito para almacenar este tipo de datos, deberá ocultar los datos de manera irreversible utilizando herramientas y métodos que cumplan con los estándares de la industria, para que no sean sensibles, o implementar los mismos controles que un sistema de producción.

g. Cambios en los procedimientos de control 1. El Proveedor debe asegurar que los cambios de configuración en firewalls,

sistemas de detección de intromisiones (IDS) y sistemas de prevención de intromisiones (IPS) sigan el proceso de administración de cambios del Proveedor.

2. El acceso otorgado a producción mediante identificaciones temporales debe ser registrado y monitoreado para hacer un seguimiento de los cambios realizados en el entorno.

3. Para Sistemas de información controlada que contengan información del Cliente clasificada como Confidencial o de nivel superior, o una integridad o una disponibilidad de nivel alto, el Proveedor debe revisar los registros capturados de acuerdo con la Sección 9.7q (Registros de auditoría) a partir de muestras. Las revisiones pueden utilizar una metodología apropiada de muestreo basada en el riesgo.

4. La revisión debe validar que los cambios a realizarse como parte del acceso privilegiado temporal se hayan realizado según lo previsto.

h. Fuga de información El Proveedor debe contar con una norma de codificación segura para evitar la fuga de información, que incluya lo siguiente:

i. Información detallada del sistema (por ejemplo, tecnología y tipo de servidores);

ii. Rastreos de la pila y errores de excepción que revelen la estructura de árbol de directorios y el tipo de base de datos subyacente.

i. Control de vulnerabilidades técnicas


1. Si el Proveedor accede a datos de Citi o los almacena o procesa en aplicaciones o infraestructura que administra, debe asegurar que se realicen evaluaciones de vulnerabilidades y que todos los problemas de vulnerabilidad se solucionen de acuerdo con los requisitos de las Pruebas de Seguridad del Sistema para Proveedores.

9.10 Gestión de incidentes de seguridad de la información

a. Informe de eventos de seguridad de la información 1. El Proveedor debe informar de inmediato los siguientes incidentes, eventos y

vulnerabilidades de IS a Citi de la siguiente manera: i. Los virus sospechosos y/o códigos maliciosos deben informarse de

inmediato a un centro de servicio o a la estructura de soporte designada. i. Los virus troyanos confirmados deben ser tratados como incidentes

de IS. ii. Los virus que causan negación de servicio o están específicamente

dirigidos a Citi deben ser tratados como incidentes de IS. iii. Los eventos sospechosos de suplantación de identidad (phishing)

deben informarse a Citi. 2. El Proveedor debe obrar en consecuencia y notificar de inmediato a Citi

sobre cualquier actividad sospechosa relacionada con datos o sistemas de información de Citi.

b. Informe de debilidades de seguridad El Proveedor debe tener un proceso para asegurar que las vulnerabilidades de aplicaciones e infraestructura que puedan comprometer los recursos de información de Citi se informen de inmediato a Citi.

c. Responsabilidades y procedimientos El Proveedor debe asegurar que se aplique un enfoque eficaz a la gestión de incidentes de seguridad de la información que afecten a Información de Citi. El Proveedor debe mantener procesos para responder a Incidentes de seguridad y notificar a Citi dentro de un período acordado, pero no mayor a 24 horas de detectar una sospecha de Incidente de seguridad, durante las 24 horas del día, los 7 días de la semana. Esto incluye, entre otras cosas, las sospechas de Incidentes de seguridad generadas por IDS, IPS y la Detección de anomalías de comportamiento en la red (Network Behavior Anomaly Detection, NBAD).

Estándares para Proveedores de Citi Continuidad de negocios Página 53 de -2

10 CONTINUIDAD DE NEGOCIOS


Citi mantiene planes de continuidad de negocios para minimizar las pérdidas financieras y responder a las necesidades de los Clientes y del mercado en el caso de un desastre, una crisis, un trastorno o una emergencia de origen natural o humano. Citi debe estar preparado para responder a cualquier evento que pueda afectar las operaciones comerciales normales.

Todos los Proveedores de Citi deben contar con planes de continuidad de negocios documentados para asegurar que cualquier interrupción relacionada con los productos y servicios que suministran a Citi sea resuelta y corregida dentro de los plazos de recuperación establecidos por Citi.

Si corresponde, los planes de continuidad deben contener los siguientes elementos o indicar que el elemento no es aplicable: Objetivos de tiempo de recuperación (Recovery Time Objectives, RTO) y Objetivos de punto de recuperación (Recovery Point Objectives, RPO), procedimientos de recuperación, arreglos manuales por emplear cuando la tecnología no está disponible, ubicación de la recuperación y requerimientos de recursos, plan de dotación de personal para ubicación de recuperación (incluido el personal de recuperación de tecnología y negocios), información de contacto de Citi (por ejemplo, contactos, niveles de servicio contratados), información de subcontratistas, información de aplicaciones, procedimientos para regresar a la ubicación de trabajo principal, listas de llamadas, procedimientos de llamadas y listas de almacenamiento externo.

Los planes de continuidad de negocios del Proveedor deben actualizarse al menos una vez al año.

Todos los Proveedores de Citi deben proporcionar al principal contacto comercial y al ejecutivo sénior de operaciones nacionales de Citi los procedimientos operativos que se deben llevar a cabo en caso de que se implementen planes de recuperación de desastres y reanudación de negocios.

10.2 Recursos de recuperación Los planes de continuidad de negocios de los Proveedores deben ofrecer recursos alternativos capaces de suministrar todos los productos y servicios a Citi en el caso de que las ubicaciones principales del Proveedor queden inhabilitadas. Los recursos de recuperación deben estar ubicados en lugares geográficamente separados de las ubicaciones principales, a una distancia suficiente como para minimizar o eliminar el riesgo de que un mismo desastre pueda afectar a la ubicación principal y a la ubicación de recuperación. Los recursos de recuperación no se limitan a sistemas de información, sino que incluyen todos los recursos necesarios para el suministro ininterrumpido de productos y servicios a Citi, y pueden incluir personal, edificios, equipos comerciales, centros de datos, redes de voz y datos, y servicios de transporte.

10.3 Niveles de servicio de recuperación

La continuidad de negocios del Proveedor debe satisfacer los niveles de servicio establecidos a fin de resultar efectiva para Citi. Como mínimo, el plan de la continuidad


del negocio del Proveedor debe establecer valores específicos para las siguientes variables:

Objetivo de tiempo de recuperación Duración en horas entre el momento de una interrupción del servicio y el restablecimiento de los productos y servicios.

Objetivo de punto de recuperación Es el punto de tiempo en el pasado, establecido en horas, en que deben recuperarse los datos luego de una interrupción de negocios. Es el período objetivo máximo en que podrían perderse los datos de un servicio de TI debido a un incidente mayor. RPO solo es una medida del período máximo en que podrían perderse los datos si hubiera un incidente mayor que afectara el servicio de TI, no es una medida directa de la cantidad de datos que podrían haberse perdido (por ejemplo, al final del procesamiento del turno anterior).

Capacidad de recuperación Es el volumen, la cantidad o la velocidad de suministro de productos y servicios del Proveedor, expresado como porcentaje del suministro normal de dichos productos y servicios.

Duración de la recuperación Es la duración máxima, en días, en que el Proveedor es capaz de mantener las operaciones en modo de recuperación.

10.4 Pruebas

Todos los planes y recursos de recuperación del Proveedor deben ser sometidos a prueba una vez al año, como mínimo, y los resultados de las pruebas de recuperación deben ser entregados a Citi en el plazo de una semana de la fecha de prueba, en el formato que establezca Citi. Las pruebas deberán demostrar la capacidad del Proveedor para satisfacer los niveles de servicio de recuperación para todos los productos y servicios suministrados a Citi.

Los Proveedores deben notificar a Citi sobre las pruebas de recuperación de servicios prestados a Citi, con al menos 30 días de anticipación. Citi podrá participar u observar las pruebas de recuperación del Proveedor.

Los Proveedores deben realizar pruebas de los siguientes escenarios de trastorno:

Prueba de negación de acceso (Denial of Access, DOA), para validar la dotación de personal y el apoyo a los procesos de negocios de Citi que se pueden recuperar dentro del RTO establecido.

Prueba de negación de servicio (Denial of Service, DOS), para validar la tecnología que respalda los procesos de negocios de Citi que se pueden recuperar dentro del RTO establecido y los datos que se pueden recuperar dentro del RPO establecido.

Ejercicios con escenarios para demostrar la capacidad de recuperación en el caso de un evento tecnológico o de infraestructura de origen natural o humano.

La evidencia de la prueba debe incluir una descripción de la prueba, su alcance y objetivo, los resultados y las acciones de seguimiento.

10.5 Manejo de crisis

Junto con su plan de continuidad de negocios, el Proveedor debe mantener un plan de manejo de crisis para dirigir y controlar las operaciones de recuperación. Como mínimo,

http://en.wikipedia.org/wiki/Data


el plan de manejo de crisis del Proveedor debe identificar a personas específicas con la autoridad suficiente para poner en marcha una operación de recuperación, definir los protocolos de comunicación y derivación para reunir y difundir la información de crisis e incluir protocolos de notificación y elevación para comunicarse con Citi en el caso de una crisis.

Estándares para Proveedores de Citi 11 Estándares de gestión de Quejas/Inquietudes globales Página 56 de -2

11 ESTÁNDARES DE GESTIÓN DE QUEJAS/INQUIETUDES GLOBALES

11.1 Descripción general La Política de Quejas Globales establece requisitos mínimos para desarrollar estándares/procedimientos de gestión de quejas/inquietudes a fin de abordar la identificación, categorización, manejo y supervisión de quejas/inquietudes.

11.2 Identificación y categorización de niveles de Quejas Las Quejas/Inquietudes deben definirse en función de tres niveles.

Queja/Inquietud de nivel 1: es una expresión de insatisfacción durante la interacción inicial de contacto con el consumidor.

Queja/Inquietud de nivel 2: es una expresión de insatisfacción derivada porque no pudo resolverse durante el punto de contacto inicial (nivel 1) o una expresión de insatisfacción manejada en el nivel 2 por motivos de operaciones comerciales.

Queja/Inquietud de nivel 3: es una expresión de insatisfacción recibida de canales reguladores o dirigida a ejecutivos sénior proveniente de un consumidor que alega directamente que se ha producido una violación de los requisitos legales y reglamentarios, o bien a partir de un contacto que no pudo resolverse en interacciones anteriores de nivel 1 y/o 2.

11.3 Manejo de Quejas

Transferencia comercial cubierta de Quejas/Inquietudes: Los Proveedores deben colaborar con Citi para desarrollar procedimientos sobre cuándo y cómo derivar o transferir a Citi o de Citi las quejas para su manejo.

Aceptación y recepción de Quejas/Inquietudes: Junto con Citi, los Proveedores deben desarrollar procedimientos para aceptar la recepción de quejas que sean congruentes con los requisitos reglamentarios, las prácticas convencionales y las experiencias del cliente deseadas.

Investigación (indagación) y seguimiento:

- Junto con Citi, los Proveedores deben desarrollar procedimientos que establezcan requisitos de investigación e indagación que sean congruentes con los requisitos reglamentarios, las prácticas convencionales y las experiencias del cliente deseadas. El Proveedor es responsable de llevar a cabo la investigación e indagación necesarias para solucionar las Quejas/Inquietudes con una resolución justificada.

- Junto con Citi, los Proveedores deben desarrollar procedimientos que incluyan requisitos de seguimiento congruentes con las experiencias del cliente deseadas. Es posible que se requiera información adicional para completar la investigación de Quejas/Inquietudes, por lo cual puede ser necesario establecer un contacto de seguimiento con el consumidor.

Escalación Los Proveedores deben implementar los siguientes procesos de escalación.


- Escalación directa: los Proveedores derivan las Quejas/Inquietudes directamente al nivel 3; no se permiten los intentos de reversión de escalación. La aplicabilidad debe definirse en mayor profundidad en los Estándares regionales, de manera congruente con las leyes, reglamentaciones, requisitos, prácticas convencionales y experiencias del cliente deseadas locales.

- Solicitudes de consumidor: los Proveedores deben escalar las Quejas/Inquietudes en caso de que fracase el primer intento de reversión de la escalación y de que el cliente solicite hablar con un gerente.

- Limitaciones por permisos/políticas: los Proveedores deben escalar las Quejas/Inquietudes si el empleado no puede investigar el hecho minuciosamente ni garantizar una resolución apropiada debido a la falta de permisos o autorización, o a la imposición de limitaciones por políticas operativas.

- Conducta del consumidor (discreción del Proveedor): el Proveedor puede ofrecer escalar la Queja/Inquietud si el consumidor sigue expresando insatisfacción. El Proveedor debe considerar si el motivo de insatisfacción que tiene el consumidor sugiere que la resolución no se condice con los principios reglamentarios locales ni con los principios de imparcialidad de Citi. La aplicabilidad debe definirse en mayor profundidad en los Estándares regionales.

Respuesta y cierre Los Proveedores deben cumplir con los siguientes requisitos de respuesta y cierre:

- incluir una explicación detallada de la resolución;

- presentar el informe con un estilo que sea simple de comprender;

- abordar cada Queja/Inquietud;

- incluir una descripción de las medidas tomadas;

- incluir de qué manera se puede contactar a Citi si surgen preguntas de seguimiento;

- incluir los documentos de respaldo a los que se haga referencia en la respuesta por escrito;

- brindar orientación que establezca los métodos de comunicación adecuados de los canales aprobados;

- detallar las situaciones en las que puede resultar apropiado no responderle al consumidor;

- cumplir con los requisitos de revisiones y aprobaciones legales y de cumplimiento en relación con las cartas/plantillas de respuesta.

11.4 Estándares de resolución: estándares de nivel de servicio para la resolución de respuestas Estándar de nivel de servicio máximo según el tipo de Queja/Inquietud

Nivel 1: debe cerrarse en el plazo de 1 día laboral; de lo contrario, debe derivarse al nivel 2.

Nivel 2: el 90 % se cierra en el plazo de 4 días laborales.


Nivel 3: el 90 % se cierra en el plazo de 30 días calendario, a menos que los requisitos reglamentarios dispongan un plazo más corto o que la Queja/Inquietud sea tratada por un tribunal o un abogado externo.

11.5 Registro: elementos de datos requeridos La aplicación e implementación congruentes de elementos de datos sobre Quejas/Inquietudes permite realizar informes mensurables y facilita la identificación de posibles indicadores clave de riesgo para llevar a cabo un análisis eficaz de Quejas/Inquietudes. Los Proveedores deben registrar la siguiente información en relación con cada Queja: Receipt Date (Fecha de recepción), Complaints/Concerns Date (Fecha de la Queja/Inquietud), Line of Business (Línea de negocios), Employee ID (Identificación del empleado), Account/Application Number (Número de cuenta/aplicación), Product or Service Name/Description (Nombre/descripción del producto o servicio), Source of Contact/Channel Received (Fuente de contacto/canal de recepción), Complaint/Concern Categorization (Categorización de la Queja/Inquietud), Disposition – Controllable (Bank Error) Level 3 Only (Disposición: controlable [error del banco]; solo nivel 3), Fairness Related (Asunto relacionado con la imparcialidad) y Closed Date (Fecha de cierre). Además de los campos mencionados anteriormente, los Proveedores deben documentar lo siguiente en relación con cada Queja.

Complaints/Concerns Description (Descripción de Quejas/Inquietudes): descripción del consumidor.

Complaints/Concerns Research (Investigación de Quejas/Inquietudes): medidas tomadas para investigar y solucionar las Quejas/Inquietudes.

Complaints/Concerns Closure (Cierre de Quejas/Inquietudes): información de respuesta suministrada al Consumidor.

Los Proveedores deben brindar a Citi los datos sobre las inquietudes de forma periódica, según lo acordado entre el Proveedor y Citi.

11.6 Registro y retención de llamadas Los Proveedores deben implementar un proceso de registro y almacenamiento de todas las llamadas relacionadas con las Quejas/Inquietudes durante, al menos, 12 meses a partir de la fecha de la llamada, a menos que los requisitos reglamentarios locales dispongan lo contrario.

Estándares para Proveedores de Citi 12 Estándares globales de Investigación de antecedentes Página 59 de -2

12 ESTÁNDARES GLOBALES DE INVESTIGACIÓN DE ANTECEDENTES


El propósito de esta sección es definir los estándares globales de Citi para la investigación de antecedentes por parte de los Proveedores. La investigación de antecedentes se debe llevar a cabo de acuerdo con todas las leyes y reglamentaciones locales aplicables y en relación con todo el Personal del Proveedor que tenga acceso a sistemas e Información confidencial o de propiedad exclusiva de Citi y/o acceso sin acompañante a instalaciones de Citi y con el Personal de puestos designados.

Puede encontrar información adicional sobre los requisitos y excepciones específicos del país en relación con estos estándares aquí. El Personal del Proveedor debe proporcionar toda la información y autor revelación que se describen en este documento, según corresponda. La falsificación u omisión de información en un currículum vítae, durante la entrevista, en un formulario de incorporación o durante el proceso de incorporación, sin importar cuándo se descubra, podrá ser motivo para la negación o finalización de la asignación en Citi de acuerdo con las leyes locales. Los resultados negativos de cualquier investigación realizada, sin importar cuándo se descubran, también podrán ser motivo para la negación o finalización de la asignación en Citi de acuerdo con las leyes locales. Citi podrá solicitar, en cualquier momento, información para validar que una persona que el Proveedor intenta asignar o ha asignado para prestar servicios a Citi, ha completado satisfactoriamente los requisitos de investigación de antecedentes de acuerdo con estos estándares y con las leyes y reglamentaciones locales aplicables.

12.2 Recopilación de información básica, historial de residencia y verificación de identidad

Antes de que el Personal del Proveedor comience con la asignación en Citi, el Proveedor debe recopilar el nombre y apellido, la dirección postal y la dirección permanente (si es diferente), el número de teléfono y la dirección de correo electrónico (si corresponde) de las personas. Además, las personas deben suministrar la dirección de las últimas tres (3) residencias donde han vivido o de las residencias donde han vivido en los últimos seis (6) años, según la cantidad que sea mayor. Donde lo permita la ley, el historial de residencia provisto podrá ser verificado para confirmar que el Personal del Proveedor haya declarado correctamente la dirección de sus tres (3) residencias anteriores o de los últimos seis (6) años, según la cantidad que sea mayor. El Personal del Proveedor también debe suministrar documentación que valide su identidad. Esto puede incluir el suministro de información y/o documentación de un número de identificación nacional, una tarjeta de identificación con foto emitida por el gobierno o un pasaporte.

12.3 Monitoreo de sanciones

En el caso de todo el Personal del Proveedor, se debe verificar que no figuren en la lista de Nacionales Específicamente Designados (Specially Designated Nationals, “SDN”) y

http://www.citigroup.com/citi/suppliers/data/ctry_background_screening_requirements.pdf


Personas Bloqueadas de la Oficina de Control de Activos Extranjeros (Office of Foreign Assets Control, “OFAC”) del Departamento del Tesoro de los Estados Unidos y en la lista de las regiones y jurisdicciones sujetas a sanciones impuestas por los Estados Unidos (“Sanciones de los EE. UU.”), así como en cualquier otra lista de sanciones no estadounidenses pertinente a la jurisdicción legal correspondiente a la ubicación de la asignación. Esto incluye el uso de nombres, direcciones, alias y fechas de nacimiento suministrados en el proceso de verificación, antes del primer día de asignación (excepto donde no lo permitan las leyes locales). Se debe prohibir que el Personal del Proveedor que, efectivamente, figuren en una lista de sanciones trabaje en la asignación de Citi. Cualquier indicio o falsa declaración podrá derivar en la no elegibilidad para la asignación o el cierre de esta.

Cuando la información clave del Personal descrita anteriormente cambie en relación con la persona asignada, todos sus datos deben volver a verificarse para comprobar si la persona figura en las listas de sanciones anteriormente mencionadas.

Los miembros del Personal del Proveedor que, efectivamente, figuren en una lista de sanciones en el momento de la nueva investigación deben desvincularse inmediatamente de la asignación de Citi.

12.4 Cumplimiento migratorio

El Proveedor debe demostrar que cuenta con protocolos a fin de verificar que su Personal está autorizado para trabajar en los países donde se los asigne y que ha cumplido con todas las leyes y reglamentaciones aplicables para verificar la elegibilidad laboral. El Proveedor, además, debe demostrar que cuenta con protocolos para garantizar que su Personal cumpla con todas las leyes y reglamentaciones migratorias aplicables, y que su Personal tenga la clasificación de visa correspondiente para las asignaciones y actividades en las que participará.

12.5 Historial de empleo

Los Proveedores deben validar el historial de empleo de su Personal con respecto a los últimos siete (7) años. El historial de empleo de una persona debe validarse para asegurar que se hayan declarado correctamente los empleadores, los puestos, las fechas y las tareas correspondientes. Los miembros del Personal del Proveedor también deben declarar cualquier empleo o asignación anterior como consultores o trabajadores temporales de Citi o de cualquiera de sus compañías antecesoras (incluidas, entre otras, Citibank, Citicorp, Travelers, Salomon Brothers y/o Smith Barney). También deben declarar si Citi o cualquiera de sus compañías antecesoras los despidieron, les pidieron que renunciaran o si se les negó el empleo o asignación luego de recibir una oferta de Citi o cualquiera de sus compañías antecesoras.

12.6 Antecedentes de educación

Los Proveedores deben validar el más alto nivel de educación alcanzado por su personal. La información validada debe incluir las fechas de asistencia, el nombre de las instituciones, la dirección de estas y los títulos obtenidos. El más alto nivel de educación indicado por la persona debe validarse para garantizar que las fechas de asistencia, la institución y la cualificación obtenida se hayan declarado


correctamente. Esto puede hacerse comunicándose directamente con la institución o revisando o autenticando cartas, expedientes académicos y diplomas expedidos por la institución, si corresponde.

12.7 Antecedentes penales

Donde lo permita la ley, el Personal de los Proveedores debe informar acerca de condenas penales, declaraciones de culpabilidad o de nolo contendere (incluidos los programas de rehabilitación previa al juicio) ante un tribunal por cualquier delito penal. La revisión administrativa de antecedentes penales y/o la verificación de huellas dactilares se debe iniciar antes de la fecha de inicio de la asignación, donde lo permita la ley y esté disponible. Las condenas penales por delitos relacionados con robo, fraude, falta de probidad o abuso de confianza, excepto donde la ley lo prohíba, puede tener como consecuencia la negación de la asignación en Citi y/o la no elegibilidad para esta. Las otras condenas podrán derivar en la negación y/o no elegibilidad para la asignación según las leyes y reglamentaciones locales aplicables. Las decisiones de asignación basadas en condenas penales deben guardar conformidad con las leyes y reglamentaciones locales.

12.8 Prueba de detección de drogas

Donde lo permita la ley, los Proveedores deben asegurar de que su Personal se someta a pruebas de detección de drogas antes de comenzar la asignación en Citi. Como mínimo, la prueba debe ser de “5 paneles”, para evaluar la presencia de anfetaminas, cannabinoides (THC), cocaína, opiáceos y fenciclidina (PCP). Un profesional médico determinará si los resultados son positivos y esto será suficiente para rechazar la asignación, sea que los resultados se reciban antes o después de comenzar el trabajo, excepto donde no lo permitan las leyes locales. A determinados miembros del Personal del Proveedor se les podrá pedir que se sometan a una prueba de detección de drogas durante su asignación debido a los requisitos del puesto (por ejemplo, conductores, pilotos) o por otros motivos, de acuerdo con las leyes y reglamentaciones locales.

12.9 Verificación de crédito

Los Proveedores pueden llevar a cabo una verificación del crédito del Personal asignado a Citi que ocupa puestos designados o puestos que incluyen el asesoramiento a Clientes de Citi sobre productos financieros y/o inversiones, o cuando sea una práctica local y esté legalmente permitida. Las decisiones de asignación basadas en verificaciones de crédito deben tomarse de conformidad con las leyes y reglamentaciones locales.

12.10 Nueva investigación

El Personal del Proveedor cuya asignación finalice debe ser objeto de una nueva investigación en el caso de que sea reasignado a Citi. Para obtener información adicional sobre los requisitos de una nueva investigación, consulte la “Tabla 2: Nueva investigación según la duración de interrupción del servicio” a continuación.


12.11 Traslados internacionales

Todas las investigaciones deben realizarse de acuerdo con las reglamentaciones del país donde tiene lugar la asignación. Si el Personal del Proveedor es trasladado a otro país y hay una interrupción de su servicio en Citi, la persona debe ser objeto de una nueva investigación de acuerdo con los requisitos del nuevo país. Para obtener información adicional sobre los requisitos de una nueva investigación, consulte la “Tabla 2: Nueva investigación según la duración de interrupción del servicio” a continuación.

12.12 Investigación adicional

Si Citi determina que es necesario para el trabajo por realizar, se podrá requerir una investigación adicional. Puede incluir, entre otras cosas, los exámenes médicos. Toda investigación adicional debe guardar conformidad con las leyes y reglamentaciones locales.


Tabla 1: Cronograma para llevar a cabo la investigación de antecedentes

Tipo Requerido Autorrevelación Verificación Inicio Finalización Descripción

Historial de residencia

X

Antes o al momento del inicio

≤90 días después del inicio

Recopilación y, si es necesario, verificación de las últimas tres (3) residencias o seis (6) años.

Monitoreo de sanciones

X X Antes del inicio


Se debe verificar que el Personal del Proveedor no figure en listas de control de agencias o gobiernos locales pertinentes, usando los nombres, alias direcciones y fechas de nacimiento proporcionados.

Verificación de identidad

X X X Antes del inicio

Antes del inicio

Se proporciona número de identificación nacional y documentación para validar la identidad.

Cumplimiento migratorio


Antes del comienzo de la prestación de servicios a Citi

Constancia de cumplimiento de visa y verificación de elegibilidad laboral, según lo requerido por las leyes y reglamentaciones aplicables.

Verificación del historial de empleo

X X X



Verificación de los últimos siete (7) años de empleo.

Verificación de antecedentes de educación



Verificación de fechas, institución y título del más alto nivel de educación.

Verificación de antecedentes penales



Verificación de cualquier condena, declaración de culpabilidad o de nolo contendere en cualquier tribunal; revisión administrativa de


Tabla 2: Nueva investigación según duración de interrupción del servicio

Tipo Cualquier interrupción

7 días < interrupción ≤ 30 días

Interrupción > 30 días

Verificación de antecedentes penales

X X X

Prueba de detección de drogas

X X

Monitoreo de sanciones

X X

Investigación completa1

X

registros disponibles y/o verificación de huellas dactilares (donde la ley lo permita y esté disponible).

Prueba de detección de drogas

X X



Prueba de “5 paneles” para detectar la presencia de anfetaminas, cannabinoides (THC), cocaína, opiáceos y fenciclidina (PCP) (de acuerdo con las leyes locales).

Exámenes médicos

X



Exámenes médicos realizados para asegurar que el candidato pueda desempeñar las funciones del puesto, donde se requiera y lo permita la ley.

Verificación de crédito

X



Puede realizarse donde la ley lo permita para trabajadores en puestos que impliquen el asesoramiento a Clientes de Citi sobre productos financieros y/o inversiones. También se puede realizar donde sea una práctica local.


1 - Los componentes de la investigación de antecedentes que 1) no arrojarían ningún resultado nuevo o diferente y que 2) no son exigidos por ley o por otras razones después de comenzar la asignación, no requieren una nueva investigación (por ejemplo, verificación de educación), siempre y cuando se pueda confirmar que la investigación se realizó anteriormente y se conserven los registros relacionados con esta.

Estándares para Proveedores de Citi Apéndice A: Definiciones Página 66 de -2

APÉNDICE A: DEFINICIONES

Afiliada: cualquier entidad que controla a Citi, es controlada por Citi o se encuentra bajo el control común junto con Citi, de manera directa o indirecta, donde el término “control” hace referencia a la propiedad o al poder de voto sobre el veinte por ciento (20 %), como mínimo, de las acciones con derecho a voto, o de las acciones o intereses de dicha entidad.

Investigación de antecedentes: Proceso de verificación de la información suministrada por el Personal del Proveedor y de recopilar los registros pertinentes (por ejemplo, penales, de drogas, etc.) sobre sus antecedentes.

Cadena de Suministro Empresarial (ESC): organización global de Citi con responsabilidad para dar apoyo al proceso completo de ciclo de vida de Proveedores, desde la evaluación de riesgos, la licitación y selección competitiva, hasta la contratación y el pago. Las actividades específicas incluyen el proceso de debida diligencia correspondiente de los Proveedores para asegurar el suministro ininterrumpido de productos y servicios críticos a nuestros socios comerciales, la incorporación de Proveedores, los servicios de contratación estratégica, la negociación de Contratos para una amplia variedad de productos y servicios, la compra y el cumplimiento de pedidos, el procesamiento de pagos, y las iniciativas de diversidad y sostenibilidad de Proveedores.

Programa de Proveedores Aprobados de Citi (Citi Approved Supplier Program, CASP): programa global de Citi que promueve la estandarización de las evaluaciones de procesos y control de gestión de riesgos de Proveedores en toda la empresa para mitigar el riesgo de cumplimiento, de transacciones, financiero, estratégico, de tecnología y de reputación de Citi con Proveedores, y al mismo tiempo promover la consolidación de los Proveedores para maximizar la influencia económica de Citi. El sistema CASP aloja la lista de Proveedores aprobados de toda la empresa, permite a los negocios de Citi administrar con más eficacia a los Proveedores aprobados y ofrece una ubicación central a los negocios para: identificar y clasificar a los Proveedores en función de diferentes características y atributos de riesgo, tales como importancia para el negocio, designación de OSP, acceso a información Confidencial o de nivel superior y umbrales de gastos; ver puntos de contacto del Proveedor y Citi; revisar la información de debida diligencia de Proveedores; y acceder a informes y tarjetas de calificación de gestión de riesgo de Proveedores.

Información de Citi: hace referencia a cualquier tipo de información perteneciente a Citi y que Citi está obligada a proteger.

Cliente: hace referencia a cualquier cliente de Citi y puede incluir a personas (es decir, personas físicas) y también negocios, instituciones, organizaciones y entidades legales.

Información confidencial: información que los negocios de Citi están obligados a proteger, lo que incluye, entre otras cosas, la información perteneciente a los Clientes, empleados, terceros o los negocios de Citi.

Información confidencial personal identificable (PII): cualquier combinación de PII que identifica a un ser humano particular, que se encuentra de un modo tal que facilitaría el robo de identidad, el fraude crediticio u otro fraude financiero. Esto incluye toda PII conforme a una ley, reglamentación o Contrato nacional/estatal aplicables, que


requiere la protección adicional (por ejemplo, cifrado) de tales datos. Algunos ejemplos de PII confidencial son, entre otros, los siguientes:

Nombre de un cliente o información de contacto en combinación con el número de Seguro Social, número de identificación nacional o de identificación fiscal, licencia de conducir, número de tarjeta de crédito o pasaporte, u otro número de cuenta financiera.

Número de Seguro Social de los EE. UU.

Número de identificación emitido por el gobierno, cuyo uso es equivalente a un número de Seguro Social de los EE. UU.

Información de tarjeta de pago de un cliente o número de cuenta financiera que utiliza Citi como autenticador para verificar la identidad de un cliente.

Nombre de un trabajador de Citi, identificación del trabajador o información de contacto en combinación con datos de raza, religión, etnia, ciudadanía, afiliación política o pertenencia a sindicatos.

Nombre de un trabajador de Citi, identificación del trabajador o información de contacto en combinación con la evaluación de desempeño del empleado, información salarial, salud física o mental, o delitos penales.

Contrato: documento legal escrito firmado por dos o más partes, que incluye ofertas, aceptaciones, contraprestaciones y obligaciones de las partes, y una legalidad de propósitos. Estos contratos pueden incluir, por ejemplo, Acuerdos maestros para productos y servicios, declaraciones de trabajo u órdenes de trabajo, enmiendas y anexos, esquemas, pedidos o cualquier otro tipo de documento por escrito firmado por una entidad de Citi y un Proveedor. Para los fines de esta política, los Acuerdos de confidencialidad (NDA) también se consideran Contratos.

Subcontratación de procesos centrales de negocios (Business Process Outsourcing, BPO): función, operación o servicio que, de no estar disponible, afectaría la capacidad del negocio de Citi de operar de manera eficaz, entregar sus productos y servicios, y/o cumplir con los requisitos reglamentarios y legales aplicables. La BPO de procesos de negocios centrales puede incluir, entre otros, el procesamiento de préstamos, el procesamiento de depósitos, actividades fiduciarias y de intercambio, servicios de banca electrónica, operaciones de tesorería, servicios de procesamiento de comerciantes, servicios de gestión de registros y atención telefónica al cliente (servicio de atención y llamadas entrantes de clientes). Para los fines de esta política, las funciones de cumplimiento y de auditoría interna también se consideran BPO de procesos de negocios centrales.

Clasificación de la información

Restringida: información que, si se revelara a personas no autorizadas, incluidas las personas que trabajan en Citi, podría tener un impacto significativo sobre las obligaciones legales y reglamentarias de Citi o en su situación financiera, sus clientes o su licencia.

Confidencial: información que los negocios de Citi están obligados a proteger, lo que incluye la información perteneciente a los clientes, a trabajadores, a terceros o a los negocios de Citi. La información confidencial es cualquier combinación de datos sujeta a restricciones normativas o contractuales relativas a su divulgación. También es información que el negocio considera que posee el potencial de


brindar una ventaja competitiva o producir un impacto considerable en el negocio si se divulga a personas no autorizadas.

Interna: información comúnmente compartida dentro de Citi, no prevista para distribuir fuera de Citi y no clasificada como Restringida o Confidencial. Entre los ejemplos de información interna se incluyen nuestros estándares y políticas.

Pública: información que está libremente disponible fuera de Citi o destinada a uso público, tales como comunicados de prensa de Citi o artículos acerca de Citi que aparecen en las noticias.

Confidencial o de nivel superior: información definida como Confidencial, PII Confidencial, Restringida o de Autenticación*.

*Autenticación: es una clasificación diferente con sus propios requisitos, tal como se define en los estándares. Es completamente independiente de las otras clasificaciones de información.

PII interna: permite realizar procesos internos de Citi, tales como comunicaciones, identificación o administración.

Algunos ejemplos de PII interna son, entre otros, los siguientes:

Nombres de trabajadores de Citi, identificaciones de trabajadores e información de contacto comercial cuando se utilizan para facilitar la comunicación, identificación o administración en relación con actividades comerciales de Citi.

Información de contacto personal de trabajadores de Citi e información de contacto de emergencia cuando se usa internamente a los fines de mantener la continuidad de negocios (Continuity of Business, CoB), tales como árboles de llamada de CoB.

Nombres de clientes de Citi en combinación con direcciones postales, direcciones de correo electrónico o números de teléfono cuando se utilizan para comunicarse directamente con el cliente para fines comerciales legítimos.

Subcontratación de tecnología de la información (Information Technology Outsourcing, ITO): es la subcontratación de un Proveedor para que se ocupe por completo o en gran parte de servicios, roles, operaciones o funciones de tecnología de la información de un negocio de Citi, lo que puede incluir, entre otras cosas, desarrollo y mantenimiento de sistemas, asistencia técnica a producción, evaluación y control de seguridad, operaciones en red, servicios de hospedaje de páginas web y operaciones de apoyo de sistemas.

Acuerdo maestro: contrato negociado por una entidad de Citi que establece términos y condiciones coherentes y permite a las entidades de Citi, pero sin obligarlas en general, comprar productos y servicios a Proveedores de conformidad con el Acuerdo maestro, firmando documentos transaccionales en forma de esquemas y pedidos. El Acuerdo maestro puede reflejar un esquema de precios negociados, o los precios pueden tener que ser negociados por separado como parte de la negociación del documento transaccional pertinente.


Proceso no central de negocios: servicio, operación o función que no es una BPO de procesos de negocios centrales. Los Procesos de negocios no centrales pueden incluir operaciones en la sala de correos, gestión de propiedades y servicios de reubicación, entre otros.

Acuerdo de confidencialidad (NDA): acuerdo entre Citi y un Proveedor, cuyos términos rigen el intercambio, uso y divulgación de información.

Proveedor de servicios subcontratado (OSP): es un Proveedor de servicios externo o afiliado que tiene un acuerdo con un negocio de Citi para operar, realizar o gestionar todo o una parte considerable de una función comercial, rol, servicio o la operación de un sistema que en un principio se realizaba internamente en el negocio de Citi o que normalmente sería realizado internamente por un negocio similar. En estos acuerdos, Citi mantiene la responsabilidad de fijar estándares, medir el desempeño real y tomar medidas correctivas adecuadas, cuando corresponda. Los OSP no incluyen servicios donde el negocio de Citi mantiene el control directo de la gestión del servicio recibido, como contratos de mantenimiento de terceros, servicios legales, de auditoría o de otros profesionales, y consultores o personal temporal que trabaja bajo la dirección de Citi. El control directo de la gestión puede incluir funciones administrativas, como la planificación, organización, dotación de personal y dirección. La relación con un OSP puede implicar la Subcontratación de procesos de negocios centrales, la Subcontratación de tecnología de la información o un Proceso de negocios no central:

Subcontratación: acuerdo para que un proveedor de servicios externo o afiliado opere, realice o gestione todo o una parte considerable de la función, rol, servicio, o la operación de un sistema de un negocio de Citi que en un principio se realizaba internamente en el negocio o que normalmente sería realizado internamente por un negocio similar. Esto no incluye servicios donde Citi mantiene el control directo de la gestión del servicio recibido, como contratos de mantenimiento de terceros, servicios legales, de auditoría o de otros profesionales, y consultores o personal temporal que trabaja bajo la dirección de Citi. La subcontratación puede incluir tres tipos de acuerdos comerciales:

(1) Acuerdos entre una unidad de negocios y un Proveedor de servicios subcontratado (OSP) ubicado en el mismo país (es decir, subcontratación nacional o subcontratación local).

(2) Acuerdos entre una unidad de negocios y un OSP ubicados en países diferentes, incluidos los acuerdos con Proveedores que se encuentran geográficamente cerca del negocio (es decir, subcontratación en país cercano) y los acuerdos con Proveedores que se encuentran en una región geográfica diferente a la del negocio (es decir, subcontratación internacional). A los fines de esta política, el término “internacional” hace referencia a los acuerdos de subcontratación “internacionales” y “en países cercanos”.

(3) Acuerdos de servicio internos de Citi (Intra-Citi Service Agreement, ICSA), que son acuerdos legales entre dos o más Afiliadas de Citi. En algunos casos, según las leyes aplicables de ciertas jurisdicciones, los ICSA deben reflejar una transacción en igualdad de condiciones y condiciones de pago basadas en tarifas del mercado. Los ICSA también pueden denominarse “acuerdos interfiliales”. Los ICSA pueden implicar la subcontratación nacional o internacional.


Información personal identificable (PII): cualquier información relacionada con una persona viva y que la identifique, o que se pueda utilizar para identificarla. La PII puede relacionarse con cualquier persona viva, incluidos los Clientes actuales o anteriores de Citi, solicitantes de productos o servicios de Citi, personal o Proveedores de Citi, personal de Citi y sus dependientes, aspirantes a puestos de trabajo en Citi y cualquier otra persona.

Personal: tal como se usa en esta política, hace referencia a ejecutivos, empleados, agentes, auditores, consultores, contratistas y subcontratistas del Proveedor, y también a los directores, ejecutivos, empleados, agentes, auditores, consultores u otros representantes de cualquier afiliada, contratista o subcontratista que utilice el Proveedor para suministrar productos o servicios a Citi.

Antes de la asignación: período que antecede al momento en que el recurso del Proveedor tiene acceso a los sistemas o instalaciones de Citi o que presta servicios en nombre de Citi.

Antes de la oferta: período que antecede al momento en que un candidato recibe una oferta de asignación.

Registros: información que Citi está obligada a conservar por motivos legales, reglamentarios o comerciales aprobados.

Inventario de registros: listado detallado que incluye los tipos de registro, ubicación, fechas, etc. de los registros de Citi, y que es necesario para que un negocio administre correctamente sus registros durante el ciclo de vida de la información.

Retención de registros: requisito impuesto sobre registros e información que suspende la modificación o eliminación de estos hasta que la autoridad que dictó dicha orden la levante.

Información restringida: información que, si se divulgara a personas no autorizadas, podría producir un impacto considerable en las obligaciones legales o normativas de Citi, o en su situación financiera, sus clientes o su licencia.

Monitoreo de sanciones: incluye la lista SDN de la OFAC, la lista de regiones y jurisdicciones sujetas a sanciones impuestas por los Estados Unidos (“Sanciones de los EE. UU.”), así como cualquier otro programa de Sanciones de los EE. UU. y cualquier lista emitida y cualquier jurisdicción sujeta a sanciones no impuestas por los Estados Unidos, conforme a las leyes y reglamentaciones de sanciones locales (“Sanciones no estadounidenses”) aplicables, así como cualquier otro programa de Sanciones no estadounidenses.

Gerente de contrataciones de ESC: persona dentro de la Cadena de Suministro Empresarial que es responsable de negociar los términos comerciales, requisitos y precios de Contratos, incluidas las solicitudes de propuestas (Request for Proposal, RFP) y otras actividades de selección de Proveedores, la administración de los términos y condiciones del Contrato, y los requisitos de acreditación y evaluación financiera. El gerente de contrataciones de ESC también es responsable de procurar asistencia legal, si es necesario, para asistir en la negociación de los términos y condiciones legales.

Proveedor: cualquier tercero, junto con sus empleados, agentes o representantes, que suministre productos y/o servicios a Citigroup Inc. o a cualquiera de sus Afiliadas, incluidas sus subsidiarias (denominadas en el presente, de manera conjunta o individual, como “Citi” o la “Compañía”).


Tercero: persona física o jurídica que firmó, o puede firmar, un acuerdo comercial, por Contrato o de otro modo, para ofrecer productos o servicios a una entidad de Citi o que de otra forma tenga una relación comercial continua (que no sea la de cliente/consumidor o de empleado) con Citi. Funcionarios de terceros (Third Party Officers, TPO): dependen de las funciones comerciales/globales y son responsables de llevar a cabo ciertas actividades dentro del ciclo de vida de relación con Terceros. Los TPO son responsables principalmente de controlar las relaciones con Terceros de nivel 1, 2 y 3, y trabajar con los equipos de Negocios, Operaciones y Tecnología (Operations and Technology, O&T), así como con otras funciones de Citi, para maximizar el compromiso de los Negocios con el Tercero, además de identificar, gestionar y mitigar el riesgo durante el ciclo de vida de relación con terceros.

estÁndares para proveedores de c - citigroup.com · 10 continuidad de negocios ... una infracción...

Documents