CONAMER - Sistema de Mejora Regulatoria

Estás aquí: Inicio /mirs/45173

MIR de alto impacto con análisis de impacto en la competencia y análisis de riesgos

Información General
Calidad regulatoria
Formulario

Información general

Tipo de MIR:

Mir de alto impacto con análisis de impacto en la competencia y análisis de riesgos

Título del anteproyecto:

Anteproyecto de modificación al capítulo 7. vigilancia y la inclusión del apéndice c (normativo) a la norma oficial mexicana nom-151-scfi-2016 requisitos que deben observarse para la conservaciÓn de mensajes de datos y digitalizaciÓn de documentos (cancela la nom-151-scfi-2002 prÁcticas comerciales – requisitos que deben observarse para la conservaciÓn de mensajes de datos), publicada en el diario oficial de la federación el 30 de marzo de 2017.

Dependencia:

Secretaría de economía

Responsable Oficial:

Rangel frausto octavio

Editor del anteproyecto:

Lucatero díaz jesus

Estatus del anteproyecto:

En cofemer

Ordenamiento Jurídico:

Norma oficial mexicana

Punto de contacto

Nombre(s):

mario alberto velasco mendez

Cargo:

Subdirector

Teléfono:

52296100 ext. 43204

Correo electrónico:

Dgn.mario@economia.gob.mx

¿DESEA QUE LA MIR Y EL ANTEPROYECTO NO SE PUBLIQUEN EN EL PORTAL?

Indique si la regulación propuesta requiere la no publicidad a la que se refiere el artículo 69-K de la Ley Federal de Procedimiento Administrativo (en caso de responder afirmativamente, proporcione la justificación correspondiente):

Justificación:

¿DESEA CONSTANCIA DE QUE EL ANTEPROYECTO FUE PUBLICO AL MENOS 20 DIAS HABILES?

« Sección inhabilitada derivado de cambios producidos por la entrada en vigor el pasado 10 de mayo de 2016 del “Decreto por el que se abroga la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y se expide la Ley Federal de Transparencia y Acceso a la Información Pública.»

Archivo(s) que contiene(n) la regulación

20180418150615_45016_Anteproyecto de Modificación al Capítulo 7 e inclusión del Apendice C de la NOM-151-SCFI.doc

20180515180044_45173_Anteproyecto de Modificación al Capítulo 7 e inclusión del Apendice C de la NOM-151-SCFI transitorio.doc

Indique el (los) supuesto (s) de calidad para la emisión de regulación en términos del artículo 3 del Acuerdo de Calidad Regulatoria.

Es un instrumento que se deriva de una obligación específica establecida alguna ley, reglamento, decreto, acuerdo u otra disposición de carácter general expedidos por el Titular del Ejecutivo Federal:

Es un instrumento que se deriva de un compromiso internacional:

Es un instrumento que representa beneficios notoriamente superiores a sus costos en términos de la competitividad y eficiencia de los mercados:

Se trata de un anteproyecto que será expedido por el Titular del Ejecutivo Federal, por lo que no es aplicable el Acuerdo de Calidad Regulatoria:

Brinde la justificación por la que el (los) supuesto (s) de calidad anteriormente señalado (s) es (son) aplicable (s) al anteproyecto:

El presente se desarrolla Con base en la publicación del DOF: 02/05/2017 DECRETO por el que SE REFORMA EL ARTÍCULO 35, FRACCIÓN II DE LA LEY FEDERAL DE PROCEDIMIENTO ADMINISTRATIVO Y SE REFORMAN Y ADICIONAN DIVERSAS DISPOSICIONES DE LOS ARTÍCULOS 90 BIS, 91 Y 92 DEL CÓDIGO DE COMERCIO. Derivado de dicho decreto es necesario incorporar el apéndice C a la NOM-151-SCFI-2017 vigente.

Apartado I.- Definición del problema y objetivos generales de la regulación

1. Describa los objetivos generales de la regulación propuesta:

1. Describa los objetivos generales de la regulación propuesta^#1 El presente tiene como principal objetivo incorporar el apéndice C “REQUISITOS DE LAS COMUNICACIONES ELECTRÓNICAS CERTIFICADAS” a los contenidos en la Norma Oficial Mexicana vigente NOM-151-SCFI-2016, “REQUISITOS QUE DEBEN OBSERVARSE PARA LA CONSERVACIÓN DE MENSAJES DE DATOS Y DIGITALIZACIÓN DE DOCUMENTOS (CANCELA LA NOM-151-SCFI-2002 PRÁCTICAS COMERCIALES – REQUISITOS QUE DEBEN OBSERVARSE PARA LA CONSERVACIÓN DE MENSAJES DE DATOS).”. Lo anterior con la finalidad de dar cumplimiento a la reforma al artículo 35, fracción II de la Ley Federal de Procedimiento Administrativo y a diversas disposiciones del Código de Comercio.

2. Describa la problemática o situación que da origen a la intervención gubernamental a través de la regulación propuesta: *

La Norma Oficial Mexicana NOM-151-SCFI-2016 vigente es una norma que surgió con el objetivo de cumplir con lo establecido en el artículo 49 del Código de Comercio, es decir, determinar los requisitos que deben observar los comerciantes para conservar mensajes de datos que consignen contratos, convenios o compromisos y que, por tanto, originan derechos y obligaciones. Lo anterior a fin de asegurar que dicha información se mantenga íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y que sea accesible para su ulterior consulta. Actualmente los artículos 90, 90 bis, 91, 91 bis y 92 del Código de Comercio establecen reglas generales respecto de los mecanismos de envío y recepción de mensajes de datos en los sistemas de información que acuerdan las partes involucradas en una operación mercantil; sin embargo, dichos preceptos legales no consideran los aspectos técnicos que aseguren con certeza jurídica la identidad de las partes que envían y/o reciben mensajes de datos así como el momento en que lo hacen.. De igual manera, en el artículo 69 C de la Ley Federal de Procedimiento Administrativo se establece que en los procedimientos administrativos, las dependencias y los organismos descentralizados de la Administración Pública Federal recibirán las promociones o solicitudes que, en términos de lo dispuesto en dicha Ley, los particulares presenten por escrito, sin perjuicio de que dichos documentos puedan presentarse a través de medios de comunicación electrónica en las etapas que las propias dependencias y organismos así lo determinen mediante reglas de carácter general publicadas en el Diario Oficial de la Federación. En estos últimos casos se emplearán, en sustitución de la firma autógrafa, medios de identificación electrónica. Adicionalmente se contempla en dicho artículo que las dependencias y organismos descentralizados podrán hacer uso de los medios de comunicación electrónica para realizar notificaciones, citatorios o requerimientos de documentación e información a los particulares, en términos de lo dispuesto en el artículo 35 de dicha Ley. No obstante, no existía una referencia en la Ley Federal de Procedimiento Administrativo, sobre el mecanismo técnico para realizar dichas comunicaciones en medios electrónicos de manera segura. Por tal motivo, el 2 de mayo de 2017 se publicó en el Diario Oficial de la Federación el “DECRETO por el que SE REFORMA EL ARTÍCULO 35, FRACCIÓN II DE LA LEY FEDERAL DE PROCEDIMIENTO ADMINISTRATIVO Y SE REFORMAN Y ADICIONAN DIVERSAS DISPOSICIONES DE LOS ARTÍCULOS 90 BIS, 91 Y 92 DEL CÓDIGO DE COMERCIO.” En dicho decreto se establecieron las siguientes reformas y adiciones: “Artículo Primero. - Se reforma la fracción II del artículo 35 de la Ley Federal de Procedimiento Administrativo, para quedar como sigue: Artículo 35. ... I. ... II. Mediante oficio entregado por mensajero o correo certificado, con acuse de recibo. También podrá realizarse mediante telefax, medios de comunicación electrónica o cualquier otro medio, cuando así lo haya aceptado expresamente el promovente y siempre que pueda comprobarse fehacientemente la recepción de los mismos, en el caso de comunicaciones electrónicas certificadas, deberán realizarse conforme a los requisitos previstos en la Norma Oficial Mexicana a que se refiere el artículo 49 del Código de Comercio, y Artículo Segundo. - Se reforma el artículo 90 Bis, último párrafo, y se adicionan un último párrafo al artículo 91 y una fracción V al artículo 92 del Código de Comercio, para quedar como sigue: Artículo 90 Bis. ... I. y II. ... ... I. y II. ... Salvo prueba en contrario y sin perjuicio del uso de cualquier otro método de verificación de la identidad del Emisor, se presumirá que se actuó con la debida diligencia si el método que usó el Destinatario o la Parte que Confía cumple con los requisitos establecidos en este Código para la verificación de la fiabilidad de las Firmas Electrónicas. Cuando se acuerde el uso de comunicaciones electrónicas certificadas, éstas deberán realizarse conforme a los requisitos previstos en la Norma Oficial Mexicana a que se refiere el artículo 49 del Código de Comercio. III. ... ... ... Artículo 91. ... I. a III. ... ... Cuando se acuerde el uso de comunicaciones electrónicas certificadas, éstas deberán realizarse conforme a los requisitos previstos en la Norma Oficial Mexicana a que se refiere el artículo 49 del Código de Comercio. Artículo 92. ... I. a IV. ... V. Cuando se acuerde el uso de comunicaciones electrónicas certificadas, éstas deberán realizarse conforme a los requisitos previstos en la Norma Oficial Mexicana a que se refiere el artículo 49 del Código de Comercio.” Así mismo, ·el artículo Vigésimo Tercero, del "DECRETO que establece las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto público, así como para la modernización de la Administración Pública Federal" publicado el 1 O de diciembre del año 2012, en el Diario Oficial de la Federación, dispone que: las dependencias y entidades de la Administración Pública Federal implantarán diversas acciones en materia de tecnologías de la información y comunicación, entre las que se encuentran: • El establecimiento de programas de optimización, sistematización y digitalización de sus procesos administrativos, y • La adaptación de políticas correspondientes a la estrategia digital, la cual tendrá dentro de uno de sus objetivos fomentar un cambio de cultura para que el gobierno utilice las tecnologías de la información y comunicación, y con ello ofrecer servicios gubernamentales transparentes y de mayor calidad con posibilidad de interoperabilidad entre dependencias a través de conexiones rápidas y seguras. Derivado de lo antes ya señalado, es necesario adicionar el apéndice C a la Norma Oficial Mexicana Vigente.

3. Indique el tipo de ordenamiento jurídico propuesto: *

El tipo de ordenamiento jurídico es la adición del Apéndice C (Normativo) a la Norma Oficial Mexicana vigente NOM-151-SCFI-2016 “Requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos (cancela la NOM-151-SCFI-2002 Prácticas Comerciales – requisitos que deben observarse para la conservación de mensajes de datos).”, misma que constituye el objeto de la modificación que se justifica a partir de la presente Manifestación de Impacto Regulatorio (MIR), con base en las reformas mencionadas respecto del nivel de seguridad para la conservación de mensajes, la digitalización de documentos y comunicaciones electrónicas certificadas, en términos de lo dispuesto en los artículos 33, 38 y 49 del Código de Comercio, disposiciones adicionadas de los artículos 90 bis, 91, 92, 95 bis 1, 95 bis 2, 95 bis 3, 95 bis 4, 95 bis 5 y 95 bis 6 del mismo Código y del artículo 35, fracción II de la Ley Federal de Procedimiento Administrativo.

Asimismo, señale si existen disposiciones jurídicas vigentes directamente aplicables a la problemática materia del anteproyecto. Enumérelas y explique por qué son insuficientes para atender la problemática identificada:

Disposiciones jurídicas vigentes^#1 Actualmente los artículos 90, 90 bis, 91, 91 bis y 92 del Código de Comercio establecen reglas generales respecto de los mecanismos de envío y recepción de mensajes de datos en los sistemas de información que acuerdan las partes involucradas en una operación mercantil; sin embargo, dichos preceptos legales no consideran los aspectos técnicos que aseguren con certeza jurídica la identidad de las partes que envían y/o reciben mensajes de datos así como el momento en que lo hacen. De igual manera, en el artículo 69 C de la Ley Federal de Procedimiento Administrativo se establece que en los procedimientos administrativos, las dependencias y los organismos descentralizados de la Administración Pública Federal recibirán las promociones o solicitudes que, en términos de lo dispuesto en dicha Ley, los particulares presenten por escrito, sin perjuicio de que dichos documentos puedan presentarse a través de medios de comunicación electrónica en las etapas que las propias dependencias y organismos así lo determinen mediante reglas de carácter general publicadas en el Diario Oficial de la Federación. En estos últimos casos se emplearán, en sustitución de la firma autógrafa, medios de identificación electrónica. Adicionalmente se contempla en dicho artículo que las dependencias y organismos descentralizados podrán hacer uso de los medios de comunicación electrónica para realizar notificaciones, citatorios o requerimientos de documentación e información a los particulares, en términos de lo dispuesto en el artículo 35 de dicha Ley. No obstante, no existía una referencia en la Ley Federal de Procedimiento Administrativo, sobre el mecanismo técnico para realizar dichas comunicaciones en medios electrónicos de manera segura.

Apartado II.- Identificación de las posibles alternativas a la regulación

4. Señale y compare las alternativas con que se podría resolver la problemática que fueron evaluadas, incluyendo la opción de no emitir la regulación. Asimismo, indique para cada una de las alternativas consideradas una estimación de los costos y beneficios que implicaría su instrumentación:

Alternativas^#1* No emitir regulación alguna Descripción de las alternativas y estimación de los costos y beneficios^#1* Esta alternativa no resulta viable ya que implica una omisión a la obligación de la Secretaría de Economía de establecer los requisitos de las Comunicaciones Electrónicas Certificadas que, conforme a lo establecido en los artículos 33, 38 y 49 del Código de Comercio, disposiciones adicionadas de los artículos 90 bis, 91 y 92 del mismo Código y del artículo 35, fracción ii de la Ley Federal de Procedimiento Administrativo, es necesario sean emitidos por dicha Dependencia.
Alternativas^#2* Esquemas de autorregulación Descripción de las alternativas y estimación de los costos y beneficios^#2* Se evaluó la alternativa de desarrollar esquemas de autoregulación; sin embargo, se concluyó que la alternativa tampoco es viable ya que de igual manera representa una omisión por parte de la Secretaria de Economía al no prevenir la aparición de riesgos, ni otorgan seguridad jurídica, aspectos que si son cubiertos a través de la incorporación del Apéndice C a la Norma Oficial Mexicana.
Alternativas^#3* Esquemas voluntarios Descripción de las alternativas y estimación de los costos y beneficios^#3* Actualmente existen normas mexicanas que toman como base lineamientos y normas internacionales, que se ocupan de aspectos diversos e inherentes a la conservación de mensajes de datos y la digitalización de documentos. Una de las múltiples características que distinguen a las Normas Mexicanas es su carácter voluntario, mismo que resulta insuficiente cuando lo que se busca es brindar un nivel de seguridad adecuado al establecer requisitos a las Comunicaciones Electrónicas Certificadas. Es importante mencionar que tanto los particulares como las autoridades pueden elegir el mecanismo de comunicaciones electrónicas certificadas de manera voluntaria; sin embargo, si seleccionan dicho mecanismo es obligatorio implementar los requisitos técnicos obligatorios contemplados en la norma oficial mexicana. Esto es así, en virtud que es necesario establecer requisitos técnicos que aseguren el nivel de comunicación segura y con certeza jurídica suficiente y de no gestionarse adecuadamente, vulneraría las comunicaciones y su contenido, es decir, la integridad, disponibilidad y la confidencialidad del mensaje, por ende, es necesario establecer un régimen obligatorio que permita alinear la Norma Oficial Mexicana a las reformas de los ordenamientos jurídicos que la refieren.
Alternativas^#4* Incentivos económicos Descripción de las alternativas y estimación de los costos y beneficios^#4* Los incentivos económicos no representan una alternativa viable, debido a que la problemática planteada en la presente MIR, no se relaciona con la capacidad económica de los comerciantes, ya que lo que se busca mediante la incorporación del apéndice C a la Norma Oficial Mexicana es atender una necesidad jurídica y un riesgo, para que el consumidor no se vea afectado.
Alternativas^#5* Otro tipo de regulación Descripción de las alternativas y estimación de los costos y beneficios^#5* No es viable el establecer otro tipo de regulación ya que no representaría un cumplimiento de la Secretaría de Economía a la obligación que tiene de emitir las regulaciones técnicas (NOM) necesarias para la seguridad.

5. Justifique las razones por las que la regulación propuesta es considerada la mejor opción para atender la problemática señalada: *

La regulación propuesta es la mejor opción para atender la problemática planteada, toda vez que tiene carácter de obligatoria y por tal establece un referente normativo congruente con los estándares y lineamientos internacionales en el tema. Si bien la regulación actual ofrece cierto nivel de certidumbre en el envío y recepción de mensajes de datos, existen reformas legales que atienden de manera específica la creación de mecanismos seguros de comunicación por medios electrónicos a través de lo contenido en el Apéndice C. Lo anterior atiende de manera congruente la modernización del marco regulatorio al incorporar el Apéndice C que se propone a la norma vigente.

6. Describa la forma en que la problemática se encuentra regulada en otros países y/o las buenas prácticas internacionales en esa materia: *

Italia: La Posta Elettronica Certificata se creó desde 1997 con motivo de la incorporación en las leyes italianas sobre el reconocimiento del sistema electrónico de mensajería y cuyo diseño fue llevado a cabo por el Centro de Informática en la Administración Pública, seguido de esfuerzos para la implementación y prueba del servicio, llevando a cabo pruebas en proveedores del servicio para garantizar la correcta implementación e interoperabilidad. Así mismo, encontramos los siguientes estándares de correo certificado en Estados Unidos de Norteamérica: • RFC5750 Ramsdell, B. and S. Turner, "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Certificate Handling", January 2010. (sustituye al RFC 3850 Secure/Multipurpose Certificate Handling (S/MIME)) • RFC5751 Ramsdell, B. and S. Turner, "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Message Specification", January 2010. (sustituye al RFC 3851Secure/Multipurpose Internet Mail Extension (S/MIME) mismo que formatea el mensaje de datos. • RFC6376 Crocker, D., Ed., Hansen, T., Ed., and M. Kucherawy, Ed., "DomainKeys Identified Mail (DKIM) Signatures", September 2011. Este permite validar el mensaje de datos por un receptor comprobando de forma inequívoca su origen. • RFC7208 S. Kitterman, “Sender Policy Framework (SPF)” Version 1, April 2014. Brinda protección contra la falsificación de mensajes de datos. • RFC5246 T. Dierks, E. Rescorla, “The Transport Layer Security (TLS) Protocol” Version 1.2, August 2008. El cual garantiza la privacidad del mensaje de datos. • RFC6101 A. Freier, P. Karlton, P. Kocher, “The Secure Sockets Layer (SSL) Protocol” Version 3.0, August 2011. A su vez, garantiza la privacidad del mensaje de datos.

Apartado III.- Impacto de la regulación

A. Análisis de Riesgos:

7. Indique los riesgos que buscan ser mitigados o prevenidos con la aplicación de la regulación, como puede ser en materia de salud humana, animal o vegetal, seguridad, seguridad laboral, seguridad alimentaria, medio ambiente o protección a los consumidores. Asimismo, indique la población o industria potencialmente afectada y su magnitud, el tipo de riesgo, afectación o daño probable, el origen y área geográfica del riesgo, la probabilidad de ocurrencia del mismo y la categoría en que se ubica (aceptable, bajo, moderado, alto o catastrófico):

Tipos de riesgo que motivan la emisión de la regulación^#1* Tipos de riesgo, afectación o daño probable (enfermedades, fallecimientos, accidentes, daños ambientales, afectaciones económicas, etc.) y su magnitud. Salud animal o vegetal^#1* N/A Laboral^#1* N/A Salud humana^#1* N/A Medio ambiente^#1* N/A Consumidores o economía^#1* SI Seguridad^#1* N/A

8. Indique las acciones regulatorias, obligaciones, requisitos, especificaciones técnicas, certificaciones, esquemas de supervisión o inspección o cualquier otra medida aplicable a cada uno de los riesgos antes identificados, como consecuencia de la implementación de la regulación, así como algún indicador (estadísticas, estimaciones, etc.) que permita dimensionar la situación actual y medir su evolución en el tiempo. Asimismo, justifique la forma en que considera que estas acciones permitirán reducir, mitigar o atenuar el riesgo correspondiente:

Tipo de riesgo^#1* Afectaciones económicas Grupo, sector o población sujeta al riesgo^#1* Comerciantes y Público en general. Acción implementada^#1* Se establecen medidas de seguridad informática para la transmisión de comunicaciones seguras de mensajes de datos entre emisor y receptor. Justificación de cómo se reduce, mitiga o atenúa el riesgo con la acción^#1* Las disposiciones contenidas en el Apéndice C propuesto buscan adecuar el nivel de seguridad en las comunicaciones electrónicas certificadas mediante la utilización de firma electrónica, sellos digitales de tiempo y algoritmos criptográficos para el cifrado de los mensajes de datos. Indicador de impacto^#1* El principal delito cibernético es el fraude, por lo que se puede tomar como indicador el dato respecto de fraude emitido con datos de INEGI en la Encuesta Nacional de Victimización y Percepción sobre Seguridad Pública, 2017. El cual indica que son 231 349 los cometidos para 2016. Situación esperada con la implementación de la regulación^#1* A partir de la entrada en vigor del Apéndice C en la norma se actualizarían los medidas de seguridad, cuando fuera necesario, de forma tal que se enfrente a los riesgos a que está expuesta actualmente la transmisión de mensajes de datos, ya que la falta de actualización de las medidas de seguridad puede derivar en la pérdida de información y causar un daño en el patrimonio de los consumidores y comerciantes e incluso poner en riesgo su seguridad. Aumentar dicho nivel de seguridad evitará que se realicen fraudes cibernéticos en gran medida, con lo cual se espera reducir el número por lo menos en un 80%.

9. Señale, en su caso, el grupo o sector específico en el que existen riesgos que varían en magnitud de acuerdo con el sujeto, objeto o situación en el que se presentan:

9.1Para determinados grupos o sectores específicos, ¿existen riesgos que varían en magnitud dependiendo del sujeto, objeto o situación en el que se presentan?:

9.2 En caso afirmativo, ¿se justifica la necesidad de establecer medidas regulatorias similares?:

9.3 En cualquier caso, indique ¿por qué?:

No, al proponerse una Norma Oficial Mexicana se emite una regulación técnica de observancia obligatoria donde el riesgo es el mismo para cada uno de los sectores y/o agentes económicos sujetos a ésta.

9.4 De ser el caso, ordene dichos riesgos del mayor al menor y señale si puede ser aplicable una propuesta en la que se apliquen medidas diferenciadas para administrar cada nivel de riesgo aplicable:

Medida aplicada para la administración del riesgo^#1* Reducirlo Grupo, sector o población sujeta al riesgo^#1* Comerciantes y Público en general. Riesgo identificado (ordenados del mayor al menor)^#1* Pérdida, robo, deterioro o alteración no autorizada de información.

10.1 ¿Se identifica la aparición de nuevos riesgos como resultado de las medidas aplicadas para la mitigación de los riesgos que forman parte de la problemática inicial?:

10.2 En caso de ser afirmativa, indique cuáles son estos riesgos, así como el grupo, sector o población afectada por ellos y una justificación de cómo estos son mayores o menores a los que pretenden ser atendidos con la regulación:

Riesgo identificado^#1* Grupo, sector o población sujeta al riesgo^#1* Justifique si son mayores o menores a los que son atendidos con la regulación^#1*

B. Análisis de Cargas Administrativas:

11. ¿La regulación propuesta crea, modifica o elimina trámites?:

Accion^#1* No Aplica Tipo^#1* Vigencia^#1* Medio de presentación^#1* Requisitos^#1* Población a la que impacta^#1* Plazo^#1* Justificación^#1* Ficta^#1* Homoclave^#1 Nombre del trámite^#1* Homoclave^#1*

C. Análisis de Acciones Regulatorias:

12. Seleccione las disposiciones, obligaciones y/o acciones distintas a los trámites y a aquellas que restrinjan la competencia o promuevan la eficiencia en el mercado, así como a las que atienden o mitigan una situación de riesgo, que correspondan a la propuesta:

Disposiciones en materia^#1* Establecen requisitos Artículos aplicables^#1* Apéndice C. Justificación^#1* Se incorpora el Apéndice C que establece que los mensajes de datos que se envíen, deberán mantenerse íntegros, confidenciales y disponibles en el momento de su recepción. Lo anterior con la finalidad de brindar certeza a los usuarios de comunicaciones electrónicas certificadas respecto de la información que proporcionan y de que la comunicación que realicen cuente con la seguridad necesaria para no ser alterado. Por lo que se refiere a la aplicación para las autoridades reguladas conforme a la Ley Federal de Procedimiento Administrativo, se establece un mecanismo seguro y con certeza jurídica para realizar sus actuaciones en medios electrónicos.
Disposiciones en materia^#2* Establecen obligaciones Artículos aplicables^#2* numeral C.2 del Apéndice C. Justificación^#2* Se incorpora el numeral C.2 del Apéndice C que establece que los mensajes de datos que se envíen, deberán mantenerse íntegros, confidenciales y disponibles en el momento de su recepción. Así mismo, atendiendo las disposiciones legales aplicables, deberá garantizar fehacientemente la identidad de las partes en el envío y recepción del mensaje de datos y cuando la disposición legal aplicable así lo requiera, deberá incluir el tiempo en que se envía y recibe el mensaje de datos. Dichas obligaciones sirven para poder garantizar la confiabilidad de que los mensajes de datos.
Disposiciones en materia^#3* Establecen o modifican estándares técnicos Artículos aplicables^#3* numeral C.3 y C.4 del apéndice C. Justificación^#3* A través de dichos numerales se establecen los estándares técnicos que deben cumplir las comunicaciones electrónicas certificadas para contar con la confianza que se requiere en términos de lo dispuesto en los artículos 33, 34, 38, 46 bis, 49, 90 bis, 91, 92, 93 bis del Código de Comercio y el artículo 35 de la Ley Federal de Procedimiento Administrativo.
Disposiciones en materia^#4* Otras Artículos aplicables^#4* numeral C.6 del apéndice C. Justificación^#4* Se establece la definición de solución tecnológica como el software y hardware que lleve a cabo la comunicación electrónica certificada en los términos mencionados en el Apéndice C, con la finalidad de evitar errores en la interpretación de la regulación propuesta y así delimitar claramente lo que se entiende por cada uno de los conceptos utilizados en la regulación, con el propósito de facilitar la aplicación de la norma.

D. Análisis de Impacto en la Competencia:

13. Justifique las Acciones Regulatorias que restringen o promueven la competencia o eficiencia del mercado:

Identifique la acción seleccionada de la lista de verificación de impacto competitivo^#1* Establece normas o reglas de calidad para los productos o servicios Indique la Acción o mecanismo regulatorio que considera podría restringir o promover la competencia y el(os) artículo(s) de la propuesta regulatoria aplicables^#1* La entrada en vigor del presente apéndice provocará que se mantenga un nivel general de seguridad en el envío y recepción de mensajes de datos a través del uso de las comunicaciones electrónicas certificadas, lo que brindará certidumbre a las transacciones comerciales, promoviendo su agilidad y reduciendo los costos de transacción de las empresas. Lo anterior, incrementa la eficiencia en las operaciones de las empresas y mejora su eficiencia y efectividad. Artículos aplicables^#1* Apéndice C. Describa cómo esta acción puede restringir (limitar) o promover la competencia o eficiencia del mercado^#1* Los efectos de la regulación se reflejarán en una mejora de los protocolos de seguridad en la comunicación electrónica certificada de mensajes de datos a lo largo del tiempo, lo que brinda mayor certidumbre en las transacciones comerciales, haciendo más eficientes los mercados y agilizando el sistema económico. El presente establece mecanismos de seguridad informática que permitan aprovechar y distribuir las capacidades tecnológicas existentes, homologar y estandarizar el uso de tecnologías y asegurar la neutralidad tecnológica al seguir mejores prácticas a nivel internacional en términos de la sociedad de la información. Justifique la necesidad de inclusión de la acción^#1* La falta de una herramienta que permita a la población, el envío y recepción de mensajes de datos de manera rápida, segura y eficiente, a fin de disponer de la tecnología. ¿Se consideró alguna otra alternativa regulatoria respecto de la acción o mecanismo regulatorio que se analiza? Señale cuál fue ésta y justifique porqué es mejor la alternativa elegida^#1* Se analizaron alternativas de carácter voluntario y esquemas de autorregulación, sin embargo, al no ser de carácter obligatorio no se garantiza su cumplimiento y no brindan la certeza jurídica que se requiere en materia mercantil. Por lo que el mecanismo regulatorio propuesto es el adecuado para mitigar el riesgo que se justifica en la presente MIR, ya que, los agentes económicos no se encontrarán vulnerables a falta de un ordenamiento jurídico eficiente y actualizado, que regule los elementos de seguridad informática en la comunicación electrónica certificada. ¿Establece procedimientos de obtención de licencias, permisos o autorizaciones como requisito para iniciar operaciones, o bien iniciar alguna actividad adicional?^#1

E. Análisis Costo-Beneficio:

14. Proporcione la estimación de los costos que supone la regulación para cada particular, grupo de particulares o industria:

Años^#1 Costo unitario^#1* $ 159.10 Número de años^#1 Agentes económicos^#1* 20, 174, 000 Población mexicana que utiliza internet para enviar y recibir correos electrónicos, que se encuentra en edad primordialmente laboral (19-55 años) Costo Anual^#1* $3,209,648,801.24 pesos. Indique el grupo o industria afectados^#1* Todos los comerciantes que utilicen comunicaciones electrónicas certificadas en términos de lo dispuesto en los artículos 90 bis, 91, y 92 del Código de Comercio. Describa de manera general los costos que implica la regulación propuesta^#1* El costo que generaría el presente proyecto se puede estimar a partir del costo del certificado que permite que los comerciantes que envíen y reciban documentos conforme a la norma garanticen la no alteración de las comunicaciones electrónicas. Derivado de la falta de información respecto de los costos a nivel nacional, se utilizó un promedio con base en información de los costos en España, y se convirtieron con el tipo de cambio publicado por el Banco de México el día 15 de enero de 2018, siendo el costo por un contrato electrónico certificado de $61.57 pesos. Proporcione la estimación monetizada de los costos que implica la regulación^#1* Para definir el costo se calculó la cantidad de correos electrónicos que se envían en México de forma anual, con base en un estudio realizado por THE RADICATI GROUP, INC. A TECHNOLOGY MARKET RESEARCH FIRM, a nivel mundial se envían 269 mil millones de correos de forma diaria. Con base en información de la Organización de las Naciones Unidas, para 2017 hay aproximadamente 7 mil 600 millones de personas, si se contempla que aproximadamente el 50% tiene acceso a internet, en promedio cada una envía 71 correos de forma diaria. Si se contempla que en México existen 65.5 millones de internautas, y que, de estos, 20.174 millones tienen entre 24 y 55 años y utilizan internet para enviar y recibir correos electrónicos, representa un total de 260,629,498,684 correos electrónicos enviados de forma anual. Se especula que dicho número de correos aumente en un 0.01% para ser destinados a la elaboración de contratos electrónicos, lo que representa un costo total por comunicaciones electrónicas certificadas de $3,209,648,801.24 pesos. Costo Total(Valor Presente)^#1* $3,209,648,801.24 pesos. Señale la tasa de descuento^#1 Periodo de análisis^#1 Costo Total para el periodo^#1

15. Proporcione la estimación de los beneficios que supone la regulación para cada particular, grupo de particulares o industria:

Beneficio unitario^#1* $4,102.79 pesos. Años^#1 Número de años^#1 Beneficio Anual^#1* $83 016 014 876.26 pesos. Agentes económicos^#1* 20,174,000 Indique el grupo o industria beneficiados^#1* Población mexicana que utiliza internet para enviar y recibir correos electrónicos, que se encuentra en edad primordialmente laboral (19-55 años) Describa de manera general los beneficios que implica la regulación propuesta^#1* A partir de la entrada en vigor del ordenamiento jurídico propuesto, los efectos de la regulación se reflejarán en una mejora de los protocolos de seguridad en las comunicaciones electrónicas certificadas a lo largo del tiempo. Lo cual, permitirá mitigar el riesgo de sufrir algún tipo de delito cibernético, tanto a comerciantes como a los consumidores, derivado de alguna deficiencia en los protocolos de seguridad. Por ende, el presente proyecto de norma contempla la inclusión de una mejora en los protocolos de seguridad, los cuales no están considerados en la regulación vigente. Cabe destacar que entre los delitos cibernéticos en México, consecuencia de una falta de actualización de los protocolos de seguridad de los datos electrónicos, se tienen los siguientes: malware, phishing, hackeos y las intrusiones al sistema . Derivado de esos riesgos, el consumidor o comerciante puede ser víctima de fraude, robo de identidad y patrimonial. Proporcione la estimación monetizada de los beneficios que implica la regulación^#1* En este sentido, y dado que no se cuentan con datos de una fuente oficial del gobierno mexicano sobre el impacto monetario derivado de los delitos cibernéticos, los beneficios de la regulación propuesta se obtuvieron del estudio que realizó la Organización de los Estados Americanos y Symantec , en el cual identificaron que las perdidas monetarias derivadas de diversos delitos cibernéticos en 2016 ascienden a $5 500 millones de dólares americanos. Por lo anterior, al mejorar los protocolos de seguridad, se asume que dicho costo se reducirá por lo menos en un 80%, generando un beneficio de $4 400 000 000.00 dólares americanos para los comerciantes y consumidores. Para convertirlo a moneda nacional utilizamos el tipo de cambio publicado en el Diario Oficial de la Federación para el 16 de enero de 2018, el cual es de $18.81, y así obtenemos un beneficio de $82 769 720 000.00 pesos. Aunado a lo anterior, el emplear comunicaciones electrónicas certificadas generará también ahorros en el consumo de papel y una disminución en el uso de consumibles. Se estima que el costo de elaborar un contrato impreso es de $4.73 pesos, tomando como base que un contrato promedio conlleva 5 hojas, cuyo costo unitario es de $0.14 pesos, y el costo de la tinta para imprimir una hoja es de $0.81 pesos. Para estimar el ahorro de consumibles y papel, tomamos como base la misma cantidad de correos electrónicos que se estima aumentarán para ser destinados a contratos que para el cálculo del costo en el numeral anterior (52,125,899) obteniendo un beneficio por el ahorro en insumos y papel en contratos de $246 294 876.26 pesos. Por lo expresado anteriormente, podemos considerar que la regulación propuesta generará un beneficio total de $83 016 014 876.26 pesos. Beneficio Total (Valor Presente)^#1* $83 016 014 876.26 pesos. Señale la tasa de descuento^#1 Periodo de análisis^#1 Costo Total para el periodo^#1

16. Justifique que los beneficios de la regulación son superiores a sus costos: *

Como puede observarse en el análisis costo-beneficio, presentado en las preguntas 14 y 15, el costo total derivado de la entrada en vigor de la presenta norma ascienden a $3 209 648 801.24 pesos cantidad que se ve superada por los beneficios económicos de la regulación, los cuales ascienden a los $83 016 014 876.26 pesos. Costo total: $3 209 648 801.24 pesos. Beneficio Total: $83 016 014 876.26 Beneficio Neto: $79 806 366 075.02 pesos.

F. Otros Impactos:

17. ¿La propuesta de regulación contempla esquemas que impactan de manera diferenciada a sectores, industria o agentes económicos? (Por ejemplo, a las micro, pequeñas y medianas empresas):

No, al proponerse un Apéndice para una Norma Oficial Mexicana vigente se emite una regulación técnica de observancia obligatoria donde los impactos son los mismos para cada uno de los sectores y/o agentes económicos sujetos a ésta. El anteproyecto propuesto establece protocolos de seguridad generales, que permitan prever los elementos necesarios para que las constancias de conservación de mensajes de datos y digitalización de documentos permanezcan seguras a lo largo del tiempo.

Apartado IV. Cumplimiento y aplicación de la propuesta

18. Describa la forma y/o los mecanismos a través de los cuales se implementará la regulación (incluya recursos públicos): *

Para asegurar la implementación del anteproyecto, no se requieren recursos públicos adicionales a los ya asignados a la Secretaría de Economía, ya que se debe considerar que ésta es la instancia con la autoridad competente para vigilar el cumplimiento de las Normas Oficiales Mexicanas y ésta actualmente cuenta con la infraestructura y los medios para llevar a cabo actividades de verificación relativa al cumplimiento de Normas Oficiales Mexicanas.

19. Describa los esquemas de inspección, verificación, vigilancia, certificación, acreditación y sanciones que se aplicarán para garantizar el cumplimiento de la regulación:

El proyecto no establece un esquema de sanciones específico, los esquemas de verificación y vigilancia se enmarcan en el sistema establecido en la Ley Federal de Protección al Consumidor, su Reglamento, la Ley Federal de Metrología y Normalización y su Reglamento.

19.1 Precise los resultados esperados de la aplicación de dichos esquemas y mecanismos:

Se espera que una vez que el apéndice de la norma entre en vigor, traiga consigo ahorros en el consumo de papel, disminución del uso de consumibles, así como una importante reducción de la probabilidad de falsificación, al contar con procesos administrativos más rápidos y eficientes, así como encontrar la información deseada de forma ágil y efectiva.

19.3 Presente los indicadores y estadísticas como el número de verificaciones, las sanciones aplicadas, organismos de certificación, unidades de verificación, terceros autorizados y recursos interpuestos contra la regulación implementada, con los que se pretende dar seguimiento a la regulación propuesta:

Se considera que a partir de la entrada en vigor del presente anteproyecto se pueda ir generando cierta información que permita visualizar un amplio panorama para poder contar con información estadística que permita realizar una evaluación precisa sobre las comunicaciones electrónicas certificadas ante la entrada en vigor de la norma propuesta.

19.2 ¿Estos esquemas se aplicarán de la misma manera para todos los sujetos y materias reguladas o se prevén una aplicación diferenciada en función de los riesgos que se están regulando?:

Apartado V. Evaluación de la propuesta

20. Describa la forma y los medios a través de los cuales se evaluará el logro de los objetivos de la regulación: *

Se evaluará a través del uso cada vez más recurrente entre los comerciantes y consumidores, haciendo de este, un protocolo de actuación cada vez más general. Su evaluación se podrá realizar mediante el seguimiento de los certificados emitidos con base en la presente norma. Así mismo, se podrá evaluar el desempeño de la presente regulación mediante el aumento en el uso de internet para trabajo con base en el estudio “Estudio sobre los Hábitos de los Usuarios de Internet en México” realizado por la Asociación Mexicana de Internet (AMIPCI).

Apartado VI. Consulta pública

21. ¿Se consultó a las partes y/o grupos interesados para la elaboración de la regulación?: *

Mecanismo mediante el cual se realizó la consulta^#1* Formación de grupo de trabajo / comité técnico para la elaboración conjunta del anteproyecto Señale el nombre del particular o el grupo interesado^#1* Se realizó un grupo de trabajo correspondiente a la elaboración del Apéndice C a incorporar en la NOM-151-SCFI-2016, el cual contó con la participación de diferentes sectores entre los que se encuentran agrupaciones sectoriales, Presidencia, el Servicio de Administración Tributaria, la Secretaría de la Función Pública, empresas relacionadas con la seguridad de la información, bancos comerciales y de inversión, Banco de México, Grupo Parlamentario Nueva Alianza y la representación de la Secretaría de Economía a través de la Dirección General de Normatividad Mercantil y la Dirección General de Tecnologías de la Información y Comunicación. Describa brevemente la opinión del particular o grupo interesado^#1* A partir del grupo de trabajo se generó la aportación y discusión de los diferentes numerales que comprenden el presente Apéndice, originando un consenso de criterios entre los integrantes del grupo.

22. Indique las propuestas que se incluyeron en la regulación como resultado de las consultas realizadas: *

Se evaluó la implementación de diversos protocolos de seguridad; sin embargo, una vez que el grupo de trabajo llevo a cabo el análisis de los mismos, se decidió por el que actualmente se está incluyendo en la norma. Asimismo, los esquemas voluntarios y de autorregulación, no fueron considerados, ya que es indispensable contar con un mecanismo jurÍdico que permita garantizar que los comerciantes mejoren los protocolos de seguridad relacionados con las comunicaciones electrónicas certificadas y que están armonizados con las especificaciones técnicas que establecen las normas y linemianetos internacionales. Dentro de las discusiones y propuestas realizadas en el grupo de trabajo, se tocaron puntos como permitir al Emisor firmar electrónicamente con un certificado digital emitido por una autoridad certificadora reconocida en México. También, permitir al Emisor cifrar y al receptor descifrar el mensaje de datos, utilizando un protocolo compatible con los estándares de la industria, así como permitir al receptor con los datos de verificación de firma electrónica asociados, con un certificado digital emitido por alguna entidad certificada reconocida, detectar cualquier alteración a la integridad del mensaje de datos firmado, llegando a los acuerdos de enviar propuestas de redacción al Apendice C y enviar sus observaciones sobre su estructura del XML del canal de comunicación. Todo ello para cumplir con la normativa establecida, con las mejores prácticas a nivel Nacional e Internacional en materia de comunicaciones electrónicas certificadas.

Apartado VII. Anexos

Archivo que contiene la regulación:

20180221121642_43703_20022018 - MIR Apéndice C NOM-151-SCFI-2016.docx

20180221121642_43703_Costo-Beneficio.xlsx

20180507124934_45125_C-B TRÁMITE SE-09-027-A.xlsx

20180507124934_45125_Costo-Beneficio Trámite SE-09-027-A.docx

20180507124934_45125_RESP AMPL Y CORR A LA NOM-151-SCFI-2016.docx

20180515180109_45173_C-B TRÁMITE SE-09-043.xlsx

20180515180109_45173_Comparativo Costos y Beneficios de la NOM y los trámites.docx

20180515180315_45173_Costo-Beneficio Trámite SE-09-043.docx