1. Definiciones 

SURA: Son las compañías de Suramericana S.A en Colombia, quienes desarrollarán y se convertirán en Proveedor de las APIs. 

API: Interfaces de programación de aplicaciones que permiten la comunicación e interconexión entre módulos de software.  

Aliado: Compañías que tienen una relación contractual con SURA y consumirán   en un momento determinado las APIs provistas por SURA. 

Cliente: Usuario final que hace uso de los sitios web de SURA o del ALIADO. 

API-Key: Es un código de seguridad con el que los aliados podrán utilizar una API determinada.  

Prepóliza: Número de póliza previa que se entrega en algunos de los productos apificados y que sirve como parámetro para referencias de pagos y para expedición de pólizas de los clientes. 

 

2. Condiciones Generales 

SURA desarrolla la actividad aseguradora por medio de diferentes soluciones tecnológicas, tales como las APIs, con este documento se definen los términos y condiciones para prestar dicho servicio a su ALIADO. 

Todo ALIADO, que quiera hacer uso de las APIs, deberá aceptar estos términos y condiciones presentados por SURA.  

 

3. Licencia APIs 

Sujeto a los términos y condiciones acá contenidos, SURA otorga acceso a título limitado, exclusivo y no transferible al ALIADO para usar las APIs con el propósito de comercializar o prestar los servicios que tenga autorizado en virtud de la relación contractual con SURA.  

 

4.Resposabilidades 

SURA se hace responsable de poner a disposición de los ALIADOS el Contenido/Servicio API.  

Cada parte en estos términos y condiciones mantendrá indemne a la otra parte, y a sus respectivas sociedades matrices y subordinadas y a sus directores, funcionarios, representantes y empleados y protegidos contra cualquier responsabilidad, pérdida, daños, sanciones, costos y gastos razonables de cualquier tipo, incluyendo, sin limitación, los honorarios y desembolsos de abogados, en los cuales pueda incurrir cualquiera de los indemnizados en relación con cualquier investigación o cualquier proceso administrativo o judicial (sin tener en cuenta si el indemnizado es o no parte), iniciado o por iniciar en el futuro, relacionado con o que surja de una extralimitación de las funciones aquí otorgadas o como consecuencia del incumplimiento de cualquiera de las obligaciones asumidas por las Partes por causa probada o por omisión, siempre y cuando no medie culpa grave o dolo de la otra parte debidamente declarado por autoridad competente. 

Cuando un ALIADO permita a terceros la conectividad con las APIs de SURA, asumirá toda responsabilidad por las actuaciones de estos en su nombre, entendiendo que tales terceros autorizados pueden generar perjuicios sobre los cuales entrará a asumir directamente el ALIADO. 

De igual forma, todo tercero autorizado por el ALIADO debe garantizar el correcto uso de las APIs, de acuerdo con los presentes términos y condiciones, so pena de incurrir en responsabilidad solidaria ante SURA por los perjuicios que se generen. 

 

5. Restricciones 

El uso de las APIs estará enmarcado dentro la relación de comercialización de soluciones de seguro a través de estas y no podrá usarse para otros fines diferentes al mencionado. 

El ALIADO acepta que no: 

  • Realizará ingeniería inversa, descompilará o intentará descubrir el código fuente o la estructura, secuencia y organización de todas o parte de las APIs de SURA.
  • Utilizará las APIS de SURA. de forma independiente para obtener ganancias monetarias directas o diferentes a lo acordado comercialmente.
  • Usará las APIS de SURA de una forma diferente a la expresamente autorizada. 

Cuando EL ALIADO haga uso de las APIs en procesos masivos automáticos deberá restringir en su sistema un máximo de 5 reintentos por peticiones fallidas. SURA tendrá la potestad de establecer un número máximo de transacciones por día o restricción de horario, en caso de que identifique afectación en sus sistemas porque el ALIADO está superando dicho limite. 

 

6. Marca 

El ALIADO se obliga a cumplir con el Manual de Uso de Marca de SURA, el cual se encuentra publicado en el link: https://marca.seguros.sura.com/login 

 

7. Propiedad intelectual 

SURA es titular y se reserva la propiedad sobre los métodos, conocimientos (know how), secretos empresariales, comerciales o industriales, patentes, signos distintivos, derechos de autor, así como cualquier otro derecho de propiedad intelectual, interfaces, software, aplicaciones tecnológicas y/o procedimientos empleados para el desarrollo, ejecución, entregables y contenido de las API. 

El ALIADO reconoce, por lo tanto, que las APIs y su contenido se encuentran protegidos por la propiedad intelectual y, por tanto, entiende que no podrá utilizar, modificar, copiar, reproducir, publicar, cargar, exponer, transmitir o distribuir de cualquier forma las APIs o su contenido, incluidos el código fuente y el software, sin previa autorización expresa de SURA. 

Salvo la licencia que pueda otorgarse por medio de este documento o de manera expresa y por escrito, SURA no otorga a el ALIADO ningún derecho, titularidad o interés adicional sobre las API.  

 

8. Protección de datos personales  

Tanto el ALIADO como Suramericana S.A. deben garantizar la protección de datos personales. Debe entenderse por base de datos, el conjunto organizado de datos personales que pueda ser objeto de cualquier operación o conjunto de operaciones: recolección, almacenamiento, uso, circulación o supresión en los términos de las leyes 1266 de 2008, 1581 de 2012 y su decreto reglamentario 1377 de 2013 y el Decreto 1074 de 2015 en lo que regule esta materia. Cualquiera de las Partes deberá garantizar el adecuado manejo, uso y disposición de la información contenida en las bases de datos de la otra parte, que ésta le suministre en desarrollo del objeto de este Acuerdo, y sobre las cuales cuente con la debida autorización de los titulares de los datos personales contenidas en las mismas, y a dar cumplimiento a lo previsto en las normas mencionadas anteriormente y a cualquier otra que sea aplicable en ese sentido. 

 

9. Operación de las APIs 

Se le proveerá al ALIADO una API-key tanto para el ambiente de laboratorio como productivo, dichas claves serán el mecanismo que le permita hacer los desarrollos de consumo de las APIs, el ALIADO debe validar y asegurar que la información manipulada por un tercero, en caso de que los desarrollos sean contratados, no queden en poder del contratado y que el tercero solo tenga acceso a la API-Key del ambiente de laboratorio.  

SURA se compromete con la entrega de la documentación técnica y manuales del API, que permitan al ALIADO el entendimiento para el consumo de la misma, dicha documentación se provee cuando se generen los acuerdos de negocio y se realice el proceso de registro del ALIADO. 

El ALIADO tiene un tiempo máximo de dos meses para la implementación de las APIs en ambiente de laboratorio luego de que SURA entregue toda la documentación. 

El ALIADO deberá realizar pruebas en ambiente de laboratorio bajo los siguientes criterios:   

  • SURA mediante su equipo de negocio se encarga de certificar a nivel funcional las tarifas presentadas en el cotizador del aliado vs el cotizador de Sura para pólizas de autos, motos, bicis y viajes, validando que toda la información a nivel de producto sea la correcta y pactada por negociación o licitación.
  • Dentro del alcance de la certificación por parte de SURA no se encuentra revisión de logs ni código fuente implementado por el ALIADO; para lo anterior cada ALIADO debe contar con su equipo de desarrollo y pruebas que mediante las actividades del ciclo de vida del software garanticen que tanto a nivel técnico como funcional sus desarrollos cumplan con las definiciones propias del negocio.
  • El ALIADO debe garantizar el consumo de las APIs de acuerdo con la documentación que se entregue. 

 

9.1 Uso de las APIs de servicios financieros 

Aplica cuando el aliado se conecta a la API de recaudo digital, que establece la conexión con la pasarela de pagos que tenga a disposición SURA.  

 

9.1.1 Medio de recaudo SURA 

Con Prepóliza: Si el ALIADO usa el API de recaudo digital de SURA para hacer los recaudos de las pólizas, entonces debe garantizar que la implementación y consumo de los servicios desde su sitio sea en el siguiente orden: 

  1. Cotización del producto
  2. Generación de la prepóliza
  3. Redirección del cliente a la pasarela de pagos
  4. Consulta del estado del pago
  5. Si el pago fue exitoso, entonces se genera la expedición de la póliza 

 

Sin Prepóliza: Si el ALIADO usa el API de recaudo digital de SURA para hacer los recaudos de las pólizas, entonces debe garantizar que la implementación y consumo de los servicios desde su sitio sea en el siguiente orden: 

  1. Cotización del producto
  2. Redirección del cliente a la pasarela de pagos
  3. Consulta del estado del pago
  4. Si el pago fue exitoso, almacenar el comprobante de la transacción
  5. Generar la expedición de la póliza
  6. Realizar el registro de cartera  

 

9.1.2 Medio de recaudo ALIADO 

Si el ALIADO hace el recaudo de las pólizas, entonces debe garantizar que la implementación y consumo de los servicios desde su sitio sea en el siguiente orden: 

  1. Cotización del producto
  2. Redirección del cliente a la pasarela de pagos
  3. Consulta del estado del pago
  4. Si el pago fue exitoso, almacenar el comprobante de la transacción
  5. Generar la expedición de la póliza
  6. Generar aviso a SURA para la legalización 

Cuando el ALIADO haga uso de las APIs de servicios financierons, se acoge a los siguientes procesos: 

  • Pruebas funcionales en las cuales el equipo SURA verifica la correcta implementación de los pasos anteriormente nombrados. 

 

10. Soporte  

SURA previo a la salida a producción del ALIADO le entregará el acceso a la herramienta de soporte tecnológico virtual que se encuentra en el siguiente link https://soporteti.sura.com.co para dicho acceso SURA entregará el usuario, contraseña y manual de usuario para uso de la herramienta. El ALIADO deberá reportar siempre mediante este canal los incidentes asociados a las APIs que afecten su operación. 

SURA asignará una clasificación al incidente, según el impacto evaluado por el equipo interno, los ANS establecidos para los incidentes son: 

Clasificación 

ANS 

Horario de atención de incidentes luego de ser radicados por la herramienta 

Alto 

73 

5 días X 12 horas.  

Días hábiles entre lunes y viernes de 6 am a 6pm 

Medio 

74 

Bajo 

76 

 

11. Seguridad 

El uso y/o integración de las APIs debe darse bajo condiciones de seguridad adecuadas que garanticen confidencialidad, integridad y disponibilidad de la información, estas condiciones se dan bajo la definición de OWASP Top 10 en su versión más reciente.  

SURA ejecutará procesos de revisión de seguridad informática sobre las APIs que esta desarrolle y es responsabilidad del ALIADO implementar medidas y pruebas de seguridad sobre su sitio o aplicación para evitar el acceso y uso indebido de las APIs. SURA podrá por motivos de auditoría solicitar al ALIADO el certificado de pruebas de seguridad, las cuales el aliado entregará a SURA en los siguientes 5 día hábiles a su solicitud. 

Cuando se presenten hallazgos en revisiones de seguridad y éstas sean competencia del ALIADO, es él quien se compromete con la solución, cuando éstos sean competencia de SURA, esta se comprometerá con la solución de los mismos. 

 

12. Seguridad, acceso y circulación restringida de la información.  

Si el ALIADO requiere acceso a la información de SURA, debe implementar mecanismos para preservar la confidencialidad, integridad y disponibilidad de la información conforme con las regulaciones y prácticas definidas por SURA en la Política General de Seguridad de la Información y Ciberseguridad anexa al contrato, y particularmente las siguientes:  

  • Proteger la información cifrada en tránsito a través de certificados digitales vigentes y con algoritmos de cifrado seguro.
  • Proteger la información almacenada o en reposo a través de mecanismos de cifrado válidos y actualizados.
  • Garantizar que la información confidencial sólo sea enviada a quién le compete y bajo los protocolos o procedimientos acordados con SURA, de acuerdo con el principio de circulación restringida de la Ley 1581 de 2012.
  • Implementar mecanismos adecuados para la destrucción de la información, los cuales impidan que dicha información pueda ser recuperable.
  • Definir y segregar adecuadamente los permisos que requiere el personal del tercero o proveedor para acceder a la información de SURA e igualmente reportar cuando los permisos ya no sean necesarios, para así darles de baja.
  • En caso tal que el ALIADO esté domiciliado en el extranjero, deberá cumplir con las medidas adoptadas a nivel de seguridad de la información y ciberseguridad, basadas en estándares como: ISO 27001, ISO 27032, NIST.
  • Capacitar en temas de seguridad de la información y ciberseguridad al personal que tiene acceso a la información de SURA y de la misma manera atender las capacitaciones emitidas por SURA en esta materia. De las capacitaciones se deberá dejar constancia verificable.
  • Auditar y registrar toda consulta y/o acceso a la información confidencial de SURA en los sistemas de el ALIADO, cuando este control esté bajo su margen de acción.
  • Reportar al canal establecido por SURA y gestionar los incidentes de seguridad o potenciales incidentes de seguridad, inmediatamente ocurrida o detectada la situación. El canal para reportar los incidentes de seguridad es: incidentesseguridad@suramericana.com.co. 

  • Reportar al canal establecido por SURA y gestionar los incidentes de seguridad donde se involucren datos personales relacionados con SURA. Esta actividad debe darse en un plazo menor a 3 días hábiles. El canal para reportar situaciones relacionadas con el manejo y/o tratamiento inadecuado de información personal es: protecciondedatos@suramericana.com.co 

     

13. Confidencialidad  

Tanto el ALIADO como SURA se obligan a guardar absoluta reserva de la información y documentos que en virtud del presente acuerdo llegasen a conocer. Estas se obligan a no revelar a terceras personas, la información confidencial que reciban en ejecución o con ocasión del presente vínculo contractual y, en consecuencia, se obligan a mantenerla de manera confidencial y privada y a protegerla para evitar su divulgación, ejerciendo el mismo grado de control que utilizarían para proteger la información confidencial de su propiedad. Las partes no utilizarán la información confidencial para fines comerciales y sólo la utilizarán para efectos de este acuerdo. Esta obligación de no revelar la información confidencial estará vigente durante el término del acuerdo y cinco (5) años más; con excepción del tratamiento de datos personales, cuya obligación de confidencialidad perdurará de manera indefinida. Esta obligación no aplicará o cesará cuando: (a) Hubiere sido conocida previamente, de manera directa o indirecta, libre, legal y espontáneamente, por cualquiera de las Partes. (b)Sea información de dominio público. (c) Sea divulgada para atender un requerimiento legal de autoridad competente, previo informe a la otra parte; (d) Por autorización expresa de la otra parte.  

 

14. Modificación en las APIs y las condiciones de uso 

SURA se reserva el derecho de modificar, en cualquier momento, la prestación y configuración de las API. Sin embargo, debe proveer un mecanismo de comunicación al ALIADO para que este pueda adoptar los cambios.  

SURA se reserva el derecho a modificar este documento en cualquier momento, de forma general o individual, generando una notificación y garantizando que el ALIADO reciba el documento. El ALIADO tendrá 10 días hábiles para aceptar el cambio o notificar a SURA observaciones sobre el mismo. 

 

15. Terminación  

SURA se reserva el derecho de rescindir o suspender el presente acuerdo, sin expresión de causa y en cualquier momento sin que ello genere responsabilidad alguna para SURA:  

  • SURA podrá interrumpir el acceso a las APIs o a cualquiera de sus partes o funciones de manera inmediata y sin previo aviso sólo en los casos en los que SURA identifique que el consumo de las APIs desde el sitio o aplicación del ALIADO pone en riesgo la estabilidad de los servicios de SURA.
  • SURA podrá interrumpir el acceso por motivo diferente a lo enunciando en el punto anterior o cuando este lo considere pertinente o se incumplan las obligaciones contenidas en el presente documento. SURA generará una notificación al ALIADO 15 días hábiles previos a la terminación de este acuerdo. 

El ALIADO puede rescindir la licencia y acceso a las APIs de SURA y su uso dejando de utilizar las API. 

En el momento de la finalización: 

  • Todos los derechos y licencias que se hayan otorgado al ALIADO finalizarán inmediatamente.
  • El ALIADO deberá destruir toda la información y contenido almacenado de conformidad con el uso de las APIs de SURA.