Recopilación de datos y base legal

Inscripción comercial: nombre legal, EIN, detalles de propiedad, códigos MCC y dirección física (requerida para la suscripción).

Procesamiento de transacciones: números de tarjeta/cuenta, direcciones IP, huellas digitales del dispositivo (utilizadas para monitoreo de fraude según PCI-DSS 4.0).

Verticales de alto riesgo:

Industria de viajes: itinerarios de clientes para disputas de devolución de cargo.

Contenido para adultos: datos de verificación de edad y descriptores de facturación discretos.

Datos biométricos: reconocimiento facial para verificación de identidad (con consentimiento de suscripción por separado).

Intercambio de datos y terceros

Infraestructura de pago: datos compartidos con pasarelas (por ejemplo, NMI, E-Compro) únicamente para la compensación de transacciones.

Divulgaciones regulatorias: respuesta a citaciones de la FTC, el Consejo PCI o las autoridades financieras.

Prohibición de venta de datos: Prohibición explícita de vender datos a anunciantes o corredores.

Protocolos de seguridad

Cifrado: AES-256 para datos en reposo; TLS 1.3+ para datos en tránsito.

Seguridad de hardware: terminales con certificación P2PE/EMV (por ejemplo, Dejavoo D1) con sellos de seguridad.

Tokenización: Reemplazo de PAN con tokens para todos los datos de pago almacenados.

Derechos y controles del usuario

Mecanismos integrados GDPR/CCPA

Solicitudes de acceso/eliminación: envíelas a través de privacy@paysys.us (procesadas en 72 horas).

Canales de exclusión voluntaria: enlace para cancelar la suscripción en correos electrónicos de marketing (exentos los correos electrónicos transaccionales).

Revocación biométrica: retirar el consentimiento para el reconocimiento facial a través del panel de cuenta.