Data Standards Estándares de Datos

Data & Confidentiality Datos y Confidencialidad

Last updated: April 14, 2026 Última actualización: 14 de abril, 2026

1. NDA defaults1. NDA por defecto

A mutual non-disclosure agreement is executed before any non-public information changes hands. Our standard NDA: 5-year confidentiality term, mutual obligations, narrow exceptions for compelled disclosure, written notice obligation, and automatic survival of confidentiality past termination of the engagement. We will execute a client's NDA template if it is mutual and not commercially skewed.

Se firma un acuerdo de confidencialidad mutuo antes de intercambiar información no pública. NDA estándar: confidencialidad por 5 años, obligaciones mutuas, excepciones limitadas para divulgación obligatoria, obligación de aviso por escrito y supervivencia automática de la confidencialidad tras terminar el compromiso. Aceptamos firmar la plantilla del cliente si es mutua y no está sesgada comercialmente.

2. What we accept and what we do not2. Qué aceptamos y qué no

We do receive:Sí recibimos:

• MCBS billing files, processor invoices, GL extracts, fee schedules, contracts, internal policies.
• Aggregated portfolio metrics and de-identified card-level performance data.
• Vendor agreements and rate cards relevant to scope.

• Archivos MCBS, facturas del procesador, extractos contables, tablas de tarifas, contratos, políticas internas.
• Métricas agregadas del portafolio y datos de desempeño a nivel tarjeta des-identificados.
• Contratos con proveedores y tablas de tarifas relevantes al alcance.

We do not receive:No recibimos:

• Full PANs, CVV/CVC, or magnetic-stripe data. We are not a PCI-DSS Level 1 service provider; we will not accept data that would put us in scope.
• Cardholder-level personally identifiable information beyond what is strictly necessary for analysis. Where masking is feasible, we require it.
• Source production credentials. All data movement is one-direction extract-and-transfer.

• PAN completos, CVV/CVC ni datos de banda magnética. No somos proveedor PCI-DSS Nivel 1; no aceptamos datos que nos pondrían en alcance.
• Información personal a nivel tarjetahabiente más allá de lo estrictamente necesario para el análisis. Donde sea factible enmascarar, lo exigimos.
• Credenciales productivas de origen. Todo movimiento de datos es extracción y transferencia en una sola dirección.

3. Where data lives3. Dónde residen los datos

Client data is stored in a dedicated, segregated workspace per engagement. Storage is provisioned on tier-1 cloud infrastructure (currently AWS, region selected to match client residency requirement when applicable). Each workspace has its own encryption key, its own access list, and its own audit log.

Los datos del cliente se almacenan en un espacio de trabajo dedicado y segregado por compromiso. El almacenamiento se aprovisiona en infraestructura cloud tier-1 (actualmente AWS, con región seleccionada según requisito de residencia del cliente cuando aplica). Cada espacio tiene su propia llave de cifrado, su propia lista de acceso y su propio log de auditoría.

4. Encryption4. Cifrado

Encryption at rest: AES-256. Encryption in transit: TLS 1.2 minimum, TLS 1.3 preferred. File transfer: SFTP with key-pair authentication, or client-preferred secure transfer mechanism (e.g., the client's enterprise file-share). Email is never an acceptable channel for raw data.

Cifrado en reposo: AES-256. Cifrado en tránsito: TLS 1.2 mínimo, TLS 1.3 preferido. Transferencia de archivos: SFTP con autenticación por par de llaves, o el mecanismo seguro preferido del cliente (por ejemplo, su file-share corporativo). El correo electrónico nunca es un canal aceptable para datos crudos.

5. Access control5. Control de acceso

Access to a client workspace is limited to the named engagement team. Access is granted on a least-privilege basis, requires multi-factor authentication, and is logged. Personnel rotating off the engagement have their access revoked the same business day.

El acceso al espacio de un cliente está limitado al equipo nombrado en el compromiso. Se otorga bajo el principio de menor privilegio, requiere autenticación multifactor y se registra. Al rotar al personal fuera del compromiso, su acceso se revoca el mismo día hábil.

6. Retention and deletion6. Retención y eliminación

During the engagement, data is retained as needed for the analysis. Within 30 days of engagement closure, the client elects in writing one of: (a) return of the data via secure transfer and deletion from our environment; (b) destruction with a written certificate of destruction; or (c) limited retention of summary deliverables and methodology artifacts only, with the underlying client data destroyed. We do not retain raw client data beyond this 30-day window absent an explicit written instruction.

Durante el compromiso los datos se retienen lo necesario para el análisis. Dentro de los 30 días posteriores al cierre del compromiso, el cliente elige por escrito una de las siguientes opciones: (a) devolución de los datos por transferencia segura y eliminación de nuestro entorno; (b) destrucción con certificado escrito; o (c) retención limitada únicamente de los entregables resumen y artefactos de metodología, con los datos crudos destruidos. No retenemos datos crudos del cliente más allá de esta ventana de 30 días sin instrucción explícita por escrito.

7. Sub-processors7. Sub-procesadores

We use a small set of named sub-processors (cloud infrastructure, productivity, and secure communications). The current list is provided as part of the engagement letter package. Adding a sub-processor that will touch client data requires written client notice with at least 15 business days for objection.

Usamos un conjunto reducido de sub-procesadores nombrados (infraestructura cloud, productividad y comunicaciones seguras). La lista vigente se entrega como parte del paquete de la carta de compromiso. Agregar un sub-procesador que toque datos del cliente requiere aviso escrito al cliente con al menos 15 días hábiles para objetar.

8. Breach protocol8. Protocolo de incidente

If we identify or suspect unauthorized access to client data, the affected client is notified within 24 hours of confirmation, in writing, with: scope of data potentially affected, root cause as understood at the time, containment actions taken, and a remediation plan. We coordinate with the client's incident response team and support any required notifications to regulators or third parties.

Si identificamos o sospechamos acceso no autorizado a datos del cliente, notificamos al cliente afectado dentro de las 24 horas posteriores a la confirmación, por escrito, con: alcance de los datos potencialmente afectados, causa raíz al momento, acciones de contención y plan de remediación. Coordinamos con el equipo de respuesta a incidentes del cliente y apoyamos cualquier notificación requerida a reguladores o terceros.

9. Cross-engagement isolation9. Aislamiento entre compromisos

Personnel staffed on competitor engagements are isolated from each other's workspaces. We will accept a written request from a client to exclude specific personnel from their engagement team for any reason.

El personal asignado a compromisos de competidores se aísla entre sí. Aceptamos una solicitud escrita del cliente para excluir a personal específico de su equipo por cualquier motivo.

10. Questions10. Preguntas

Information security questionnaires from prospective clients are answered within five business days of receipt. Send to info@wolfadvisory.co.

Los cuestionarios de seguridad de la información de clientes potenciales se responden dentro de cinco días hábiles de recibidos. Enviar a info@wolfadvisory.co.