![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 32 32"><rect width="32" height="32" rx="6" fill="%2360a5fa"/><text x="16" y="22" font-family="Helvetica" font-size="18" font-weight="700" fill="%230b1e3f" text-anchor="middle">F</text></svg>)
![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 32 32"><rect width="32" height="32" rx="6" fill="%230b1e3f"/><text x="16" y="22" font-family="Helvetica" font-size="18" font-weight="700" fill="%2360a5fa" text-anchor="middle">F</text></svg>)
Appearance
CARTA DE PRESENTACIÓN — ENTREGA DE DUE DILIGENCE
Bogotá D.C., 16 de abril de 2026
SeñoresBANCO SPONSOR AGREGADOR Vicepresidencia de Banca Transaccional y Adquirencia Ciudad
Asunto: Entrega formal de soportes documentales — Due Diligence para afiliación de Fintrixs S.A.S. como Agregador de Adquirencia y Tercero Receptor de Datos (TPP/TRD).
Respetados señores:
Por medio de la presente, Fintrixs S.A.S., identificada con NIT 901.994.194-3, hace entrega formal del paquete documental que soporta los formularios de Due Diligence diligenciados el pasado 6 de abril de 2026, correspondientes a los procesos de afiliación como Agregador de Adquirencia (Versión 5.0) y como TPP/TRD dentro de la Centralización de Tesorería (Versión 5.0).
El paquete cubre los seis frentes de evaluación establecidos por el banco:
- SARLAFT — Manual de políticas y procedimientos, conocimiento de contrapartes y listas sancionatorias.
- Protección de Datos Personales — Política v2.1 publicada, procedimientos de ciclo de vida del dato, autorizaciones, PQRs, protocolo de incidentes y gobierno de IA.
- Ciberseguridad y Seguridad de la Información — Política corporativa, marco de referencia (PCI DSS v4.0, NIST CSF, OWASP, CSA, ISO 27001 en implementación), gestión de vulnerabilidades e incidentes, resumen de pentesting, controles en pasarela propia, back-end, aplicación web y móvil.
- Riesgo Operacional y Gestión del Fraude — Metodología de riesgos, matriz de riesgos y controles, prevención y detección de fraude, autenticación 3DS y tokenización.
- Anticorrupción — Política anticorrupción, código de ética y canal ético de denuncias.
- Continuidad del Negocio — Plan de continuidad (BCP) y plan de recuperación ante desastres (DRP).
Adicionalmente, anexamos:
- La Política de Tratamiento de Datos Personales y Privacidad de Fintrixs (versión 2.1, vigente desde el 1 de octubre de 2025, actualizada el 16 de abril de 2026), como documento de cumplimiento de la Ley 1581 de 2012 y de la Circular Externa 002 de 2024 de la SIC.
- Anexos técnicos: diagrama de red, diagrama de flujo de datos (DFD), inventario de activos PCI y flujo de tokenización.
Declaramos que la información entregada es veraz, se encuentra aprobada por los órganos internos competentes y refleja el estado real de los controles de Fintrixs S.A.S. a la fecha. Nos comprometemos a notificar al banco cualquier cambio material en dichos controles durante la vigencia de la relación.
Para cualquier requerimiento, solicitud de ampliación, demostración técnica o sesión de revisión, quedamos a disposición a través de los siguientes contactos:
- Gabriel Ureña Chacón — Representante Legal / CEO / CTO — Responsable de la integración tecnológica — gerencia@fintrixs.com — +57 302 318 4519
- Juan Carlos Traslaviña Abaunza — Representante Legal Suplente / COO — info@fintrixs.com — +57 310 235 1566
- Cumplimiento (canal único — SARLAFT · DPO · CSIRT · Canal Ético · Legal) — cumplimiento@fintrixs.com
Agradecemos su confianza en Fintrixs como aliado tecnológico dentro del ecosistema de pagos del banco y reiteramos nuestra disposición para avanzar de manera ágil y segura en el proceso de vinculación.
Cordialmente,
Gabriel Ureña Chacón Representante Legal — CEO / CTO Cédula de Extranjería No. 501112 Fintrixs S.A.S. — NIT 901.994.194-3 Cra 78 No. 17-55, Of. 704, Bogotá D.C.