{
  "body_html": "<h2>Consumer Privacy and Information Security</h2>\n<p>Los datos de los clientes tienen tres niveles. Los <strong>datos restringidos</strong> —identificaciones oficiales del gobierno, números de Seguro Social, imágenes de cheques, registros de transacciones, papeles de trabajo de SAR y CTR— deben cifrarse. Solo usted y el personal designado pueden acceder a ellos. Los <strong>datos confidenciales</strong> —nombres de clientes, información de contacto, calificaciones de riesgo, historial de cobro— están limitados al personal con una necesidad documentada de conocerlos. Los <strong>datos internos</strong> utilizan los controles de acceso estándar para empleados.</p>\n<p><strong>Gestión de accesos:</strong></p>\n<ol>\n<li>Asigne el acceso de acuerdo con el puesto y la necesidad operativa de cada empleado. Prohíba las credenciales compartidas.</li>\n<li>Revoque el acceso dentro de las 24 horas siguientes a la terminación del empleo o al cambio de puesto.</li>\n</ol>\n<p><strong>Avisos de privacidad:</strong></p>\n<ol>\n<li>Proporcione a cada cliente un aviso de privacidad inicial en su primera transacción.</li>\n<li>Proporcione avisos anuales a todos los clientes. El aviso debe identificar: las categorías de información personal no pública recopilada; las partes con quienes puede compartirse; y los derechos de exclusión voluntaria.</li>\n<li>Atienda las solicitudes de exclusión voluntaria dentro de los 30 días.</li>\n</ol>\n<p><strong>Seguridad continua:</strong></p>\n<ol>\n<li>Revise mensualmente los registros de acceso de todos los sistemas que almacenan datos de clientes o de cumplimiento. Investigue las anomalías.</li>\n<li>Aplique controles de antivirus, firewall y administración de parches a todos los sistemas que procesen información personal no pública.</li>\n<li>Aplique los parches de seguridad críticos dentro de las 72 horas posteriores a su publicación.</li>\n<li>Revise el programa de seguridad de la información anualmente y tras cualquier cambio material en las operaciones o los sistemas.</li>\n</ol>\n<p><strong>Incidentes de seguridad:</strong></p>\n<ol>\n<li>Evalúe de inmediato el alcance y aísle los sistemas afectados.</li>\n<li>Involucre al asesor legal dentro de las 24 horas.</li>\n<li>Si el incidente afecta a 500 o más residentes de Florida, notifique al Departamento de Asuntos Legales de Florida dentro de los 30 días siguientes a la determinación de la violación.</li>\n<li>Envíe notificación por escrito a las personas afectadas dentro del plazo legal establecido.</li>\n<li>Documente todas las acciones de respuesta y los pasos de remediación. Conserve la documentación durante cinco años.</li>\n<li>Si la violación implicó la explotación de cuentas de clientes para facilitar un delito financiero, presente un SAR.</li>\n</ol>\n<p><strong>Proveedores:</strong></p>\n<ol>\n<li>Antes de compartir información personal no pública con cualquier proveedor de servicios, ejecute un <strong>acuerdo de seguridad de datos</strong> por escrito que exija salvaguardas consistentes con los requisitos federales.</li>\n<li>No comparta imágenes de cheques con terceros, salvo cuando lo exija la ley o bajo un acuerdo de seguridad de datos que cumpla los requisitos aplicables.</li>\n<li>Revise los controles de seguridad de los proveedores anualmente y en cada renovación de contrato. Reemplace a los proveedores que no puedan demostrar controles adecuados.</li>\n</ol>\n<p><strong>Eliminación de registros:</strong></p>\n<ol>\n<li>Cuando venzan los períodos de retención, destruya la información personal no pública de manera que no pueda ser reconstruida.</li>\n<li>Triture los documentos en papel mediante corte cruzado. Borre electrónicamente los medios digitales mediante un proceso certificado o destrúyalos físicamente.</li>\n<li>Registre y verifique cada eliminación.</li>\n</ol>",
  "narration_text": "Los datos de los clientes tienen tres niveles. Los datos restringidos —identificaciones oficiales del gobierno, números de Seguro Social, imágenes de cheques, registros de transacciones, papeles de trabajo de SAR y CTR— deben cifrarse. Solo usted y el personal designado pueden acceder a ellos. Los datos confidenciales —nombres de clientes, información de contacto, calificaciones de riesgo, historial de cobro— están limitados al personal con una necesidad documentada de conocerlos. Los datos internos utilizan los controles de acceso estándar para empleados.\r\n\r\nGestión de accesos:\r\nAsigne el acceso de acuerdo con el puesto y la necesidad operativa de cada empleado. Prohíba las credenciales compartidas.\r\nRevoque el acceso dentro de las 24 horas siguientes a la terminación del empleo o al cambio de puesto.\r\n\r\nAvisos de privacidad:\r\nProporcione a cada cliente un aviso de privacidad inicial en su primera transacción.\r\nProporcione avisos anuales a todos los clientes. El aviso debe identificar: las categorías de información personal no pública recopilada; las partes con quienes puede compartirse; y los derechos de exclusión voluntaria.\r\nAtienda las solicitudes de exclusión voluntaria dentro de los 30 días.\r\n\r\nSeguridad continua:\r\nRevise mensualmente los registros de acceso de todos los sistemas que almacenan datos de clientes o de cumplimiento. Investigue las anomalías.\r\nAplique controles de antivirus, firewall y administración de parches a todos los sistemas que procesen información personal no pública.\r\nAplique los parches de seguridad críticos dentro de las 72 horas posteriores a su publicación.\r\nRevise el programa de seguridad de la información anualmente y tras cualquier cambio material en las operaciones o los sistemas.\r\n\r\nIncidentes de seguridad:\r\nEvalúe de inmediato el alcance y aísle los sistemas afectados.\r\nInvolucre al asesor legal dentro de las 24 horas.\r\nSi el incidente afecta a 500 o más residentes de Florida, notifique al Departamento de Asuntos Legales de Florida dentro de los 30 días siguientes a la determinación de la violación.\r\nEnvíe notificación por escrito a las personas afectadas dentro del plazo legal establecido.\r\nDocumente todas las acciones de respuesta y los pasos de remediación. Conserve la documentación durante cinco años.\r\nSi la violación implicó la explotación de cuentas de clientes para facilitar un delito financiero, presente un SAR.\r\n\r\nProveedores:\r\nAntes de compartir información personal no pública con cualquier proveedor de servicios, ejecute un acuerdo de seguridad de datos por escrito que exija salvaguardas consistentes con los requisitos federales.\r\nNo comparta imágenes de cheques con terceros, salvo cuando lo exija la ley o bajo un acuerdo de seguridad de datos que cumpla los requisitos aplicables.\r\nRevise los controles de seguridad de los proveedores anualmente y en cada renovación de contrato. Reemplace a los proveedores que no puedan demostrar controles adecuados.\r\n\r\nEliminación de registros:\r\nCuando venzan los períodos de retención, destruya la información personal no pública de manera que no pueda ser reconstruida.\r\nTriture los documentos en papel mediante corte cruzado. Borre electrónicamente los medios digitales mediante un proceso certificado o destrúyalos físicamente.\r\nRegistre y verifique cada eliminación."
}