La CNBV se encuentra facultada para emitir disposiciones de carácter general, orientadas a preservar la estabilidad y correcto funcionamiento de las IFC, de manera concreta en las siguientes materias: 1) seguridad de la información; 2) funcionamiento y uso de medios electrónicos, ópticos de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones; 3) contratación de servicios con terceros, nacionales o extranjeros, para la prestación de servicios necesarios para la operación de las propias IFC; 4) revelación de información. En este sentido, los objetivos de la Propuesta Regulatoria son los siguientes: 1. Que las IFC estén en condiciones de hacer frente a riesgos y ataques que pudieran ocasionarles afectaciones a ellas y a la realización de operaciones con sus clientes, por lo que resulta conveniente establecer el marco normativo sobre seguridad de sus sistemas e infraestructura tecnológica, así como determinar los controles internos que deberán tener, contando con un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan sus operaciones y la confidencialidad, integridad y disponibilidad de la información, teniendo medidas específicas para proteger su información, otorgar certeza en su operación y continuidad de los servicios. 2. Que, toda vez que las IFC operan a través de medios remotos, esto es, aplicaciones informáticas, interfaces, páginas de Internet o cualquier otro medio de comunicación electrónica o digital, resulta indispensable a la luz del artículo 56 de la LRITF, regular el funcionamiento y uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, incluyendo las formas de autenticar tanto a las propias IFC como a sus clientes, cumpliendo con los principios de neutralidad tecnológica y protección al consumidor establecidos en la LRITF. 3. Que las IFC estén en condiciones jurídicas de pactar con terceros la prestación de servicios necesarios para su operación a través de la contratación, así como aquellos servicios que requerirán de la autorización de la propia CNBV tomando en cuenta para ello la debida protección de la información sensible de los clientes de estas entidades financieras. 4. Que los clientes de las IFC cuenten con información necesaria para identificar los riesgos en que incurren por la celebración de operaciones y la toma de decisiones de inversión, por lo que se incorpora el régimen aplicable a la revelación de información sobre los solicitantes de financiamiento, acorde con la facultad con la que cuenta la CNBV sobre normas en materia de transparencia de los servicios de dichas entidades financieras. 5. Que las IFC tengan a disposición de los inversionistas que estén participando en las operaciones, la información acerca del comportamiento de pago del solicitante de financiamiento, de su desempeño o cualquier otra que sea relevante. Para lo cual, se establece el contenido de la información, así como su forma y periodicidad de revelación, a fin de que los inversionistas cuenten en todo momento elementos e valoración que les permita tomar decisiones sobre sus inversiones y, de ser el caso, dar continuidad a la operación en la que hayan participado. 6. Que la CNBV cuente con la información correspondiente a las actividades y operaciones de las instituciones de tecnología financiera, la cual será proporcionada a mediante reportes, y señalando al responsable de su envío y de la calidad de su contenido, así como los plazos y medios para su presentación. Como se ha indicado, actualmente no existe un marco jurídico secundario en las materias objeto de la presente Propuesta Regulatoria, por lo cual, con la entrada en vigor de la Resolución Modificatoria se persigue que el mercado de las tecnologías financieras se desarrolle de manera ordenada con un marco jurídico apegado a las mejores prácticas nacionales e internacionales, buscando así condiciones homogéneas con el resto de las entidades financieras, al igual que una competencia sana y equilibrada, tomando en cuenta que esta última es uno de los factores clave que se pretende impulsar y cuidar, en virtud de que la industria de tecnología financiera permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, promoviendo una mayor inclusión financiera, así como la reducción de costos y mejora en la prestación de dichos servicios.

Nuevo proyecto de resolución Este AIR tiene como objetivo presentar a CONAMER una nueva versión de la Propuesta Regulatoria, la cual tuvo las siguientes modificaciones en los artículos que a continuación se precisan, así como en el Anexo 17: SEGURIDAD DE LA INFORMACIÓN • Artículo 63, fracción VI, inciso a), tercer párrafo; 63, último párrafo; 67, fracción I, tercero párrafo.- El cambio consistió en una precisión referente a que las políticas y procedimientos que documente la institución de financiamiento colectivo, estarán contenidos en un documento denominado “manual”. Cabe destacar a CONAMER que esta obligación ya se encontraba prevista en la Propuesta Regulatoria que se registró con el folio número 46878 del Sistema de Mejora Regulatoria (SIMIR) de esa autoridad. Texto anterior (Artículo 63, fracción VI, inciso a), tercer párrafo): “Asimismo, se deberán prever políticas y procedimientos para las autorizaciones de accesos por excepción, tales como usuarios de ambientes de desarrollo con acceso a ambientes de producción, y con accesos por eventos de contingencia, entre otros. Dichas políticas y procedimientos deberán ser aprobados por el oficial en jefe de seguridad de la información”. Texto nuevo (Artículo 63, fracción VI, inciso a), tercer párrafo): “Asimismo, se deberán prever en manuales, las políticas y procedimientos para las autorizaciones de accesos por excepción, tales como usuarios de ambientes de desarrollo con acceso a ambientes de producción y con accesos por eventos de contingencia, entre otros. Dichas políticas y procedimientos deberán ser aprobados por el oficial en jefe de seguridad de la información”. Texto anterior (Artículo 63, último párrafo): “El director general o, en su caso, el administrador único será responsable de documentar en políticas y procedimientos lo previsto en este artículo. Texto nuevo (Artículo 63, último párrafo): El director general o, en su caso, el administrador único de la institución de financiamiento colectivo será responsable de documentar en manuales las políticas y procedimientos previstas en este artículo. Texto anterior (Artículo 67, fracción I, tercero párrafo): Para el caso de Eventos de Seguridad de la Información, deberán reportarse a través de los medios señalados en el primer párrafo de esta fracción y solo aquellos que, de acuerdo a las políticas establecidas por la propia institución de financiamiento colectivo, se califiquen como relevantes por tener potencial afectación para la institución de financiamiento colectivo, sus Clientes, contrapartes, proveedores u otras entidades del sistema financiero. Este reporte únicamente deberá contener la fecha y hora de inicio, así como la descripción del evento de que se trate. Texto nuevo (Artículo 67, fracción I, tercero párrafo): En el caso de Eventos de Seguridad de la Información, deberán reportarse a través de los medios señalados en el primer párrafo de esta fracción solo aquellos que, de acuerdo con las políticas y procedimientos establecidos por la propia institución de financiamiento colectivo, se califiquen como relevantes por tener potencial afectación para la institución de financiamiento colectivo, sus Clientes, contrapartes, proveedores u otras entidades del sistema financiero, además de los relacionados con Información Sensible, imágenes de identificaciones oficiales e información biométrica de los Clientes. Este reporte únicamente deberá contener la fecha y hora de inicio, así como la descripción del evento de que se trate. • Artículo 63, fracción VI, inciso b) e inciso f), último párrafo.- La modificación a la Propuesta Regulatoria consistió en una flexibilización, a efecto de determinar que la institución de financiamiento colectivo deberá cifrar únicamente la información que las propias instituciones hayan clasificado como crítica. Asimismo, se hizo una adición para dar claridad a las instituciones, de la información debe ser considerada como crítica, al llevar a cabo la clasificación de información. Resulta importante destacar a CONAMER que esta obligación ya se encontraba prevista en la Propuesta Regulatoria que se registró con el folio número 46878 del Sistema de Mejora Regulatoria (SIMIR) de esa autoridad. Texto anterior: Cifrado de la información conforme al grado de sensibilidad o clasificación que la institución de financiamiento colectivo determine y establezca en sus políticas, cuando dicha información sea transmitida, intercambiada y comunicada entre componentes, o almacenada en la Infraestructura Tecnológica o se acceda de forma remota. Texto nuevo: “Cifrado de la información conforme al grado de sensibilidad o clasificación de la información que la institución de financiamiento colectivo determine y establezca en sus políticas, cuando dicha información sea transmitida, intercambiada y comunicada entre componentes o almacenada en la Infraestructura Tecnológica o se acceda de forma remota. Las instituciones de financiamiento colectivo deberán cifrar al menos, la información que hayan clasificado como crítica en términos de estas disposiciones”. Texto adicionado (Artículo 63, fracción VI, inciso f), último párrafo): “Las instituciones de financiamiento colectivo, en la clasificación de la información a que alude el inciso b) de esta fracción, deberán considerar al menos una categoría referente a la información crítica. En dicha categoría deberán incluir como mínimo la Información Sensible y las imágenes de identificaciones oficiales e información biométrica de los Clientes, así como cualquier otra que determinen de acuerdo con sus políticas”. • Artículo 64, fracción III.- La modificación consistió en modificar la periodicidad con la que deberán llevarse a cabo la revisión de los componentes de la infraestructura tecnológica, cambio que no implica modificación alguna en los costos, ya que la obligación primaria, referente a que a final del año se encuentren revisados todos los componentes de la infraestructura tecnológica, se mantuvo intacta. Es importante resaltar a CONAMER que esta obligación ya se encontraba prevista en la Propuesta Regulatoria que se registró con el folio número 46878 del Sistema de Mejora Regulatoria (SIMIR) de esa autoridad. Texto anterior: “El calendario deberá prever la revisión trimestral de los componentes de la Infraestructura Tecnológica de manera que a la conclusión del año se hayan revisado la totalidad de los componentes que almacenen, procesen o transmitan información catalogada por la institución de financiamiento colectivo como crítica, además de los que esta considere necesarios”. Texto nuevo: “El calendario deberá prever la revisión bimestral de los componentes de la Infraestructura Tecnológica de manera que, a la conclusión del año, se hayan revisado la totalidad de los componentes que almacenen, procesen o transmitan información catalogada por la institución de financiamiento colectivo como crítica, además de los que esta considere necesarios”. • Artículo 64, fracción IV, inciso b).- La modificación propuesta, constituye una flexibilización para las instituciones de financiamiento colectivo, al permitir que sean estas quienes determinen cuáles de los componentes, sistemas o aplicativos son críticos para llevar a cabo las pruebas requeridas por la CNBV. Se resalta a CONAMER que esta obligación ya se encontraba prevista en la Propuesta Regulatoria que se registró con el folio número 46878 del Sistema de Mejora Regulatoria (SIMIR) de esa autoridad. Texto anterior: “Ser realizadas, al menos, dos al año sobre sistemas o aplicativos distintos…” Texto nuevo: “Ser realizadas, al menos, dos al año sobre componentes, sistemas o aplicativos distintos que hayan sido determinados por la institución de financiamiento colectivo como de mayor riesgo…” • Artículo 64, fracción VIII.- El cambio consistió en un ajuste de redacción para clarificar que los programas anuales de capacitación son dirigidos al personal y los de concientización son dirigidos a los Clientes de las instituciones de financiamiento colectivo. Es importante destacar a CONAMER que la obligación ya se encontraba prevista en la Propuesta Regulatoria que se registró con el folio número 46878 del Sistema de Mejora Regulatoria (SIMIR) de esa autoridad. Texto anterior: “Implementar programas anuales de capacitación, así como de concientización en materia de seguridad de la información, dirigidos a todo el personal y a los Clientes incluyendo, en su caso, a terceros que les presten servicios…” Texto nuevo: “Implementar programas anuales de capacitación, dirigidos a todo el personal, así como de concientización en materia de seguridad de la información, hacia los Clientes…” • Artículo 65, segundo párrafo.- La modificación consistió en un ajuste de redacción, para clarificar que el Oficial en Jefe de Seguridad de la Información, sí puede realizar funciones de implementación de la seguridad de la información. Texto anterior: “Asimismo, no podrá realizar las funciones relacionadas con la implementación y operación de la seguridad de la información de la propia institución de financiamiento colectivo”. Texto nuevo: “Asimismo, no podrá realizar las funciones relacionadas con la operación de la seguridad de la información de la propia institución de financiamiento colectivo”. • Artículo 65, último párrafo.- Se agregó un nuevo párrafo para realizar una flexibilización que consiste en permitir a las instituciones de financiamiento colectivo que, durante los primeros doce meses de operación, el nombramiento del Oficial en Jefe de Seguridad de la Información, pueda recaer en el director general, o en su caso, en el administrador único. Texto adicionado: “Las instituciones de financiamiento colectivo podrán designar como oficial en jefe de seguridad de la información, al director general, o en su caso, al administrador único, durante un plazo máximo de doce meses, contados a partir de la fecha en que obtengan la autorización para actuar como tales”. USO DE MEDIOS ELECTRÓNICOS • Artículo 69 - El ajusta al artículo en cuestión implica un simple ajuste de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior Las instituciones de financiamiento colectivo para el uso de Medios Electrónicos, darán a conocer a sus Clientes, al menos lo siguiente: I. Las Operaciones y servicios que podrán realizarse a través de Medios Electrónicos. II. a VIII. . . . Texto nuevo Las instituciones de financiamiento colectivo para el uso de Medios Electrónicos, darán a conocer a sus Clientes, al menos lo siguiente: I. Las Operaciones y servicios que pueden realizar. II. a VIII. . . . • Artículo 70, fracción II) y último párrafo.- El cambio en cuestión, respecto de la fracción II, implicó la simple eliminación de la frase “de las categorías 2, 3 o 4”, esto toda vez que no será necesario que se cumpla lo anterior, ahora simplemente bastará con que sea un factor de autenticación de los establecidos en el artículo 72 del Anteproyecto. De igual forma se elimina el último párrafo de dicho artículo. Texto anterior fracción II: “Un Factor de Autenticación de las categorías 2, 3 o 4 a que se refiere el artículo 72 de las presentes disposiciones.” Texto nuevo fracción II: “Un Factor de Autenticación a que se refiere el artículo 72 de las presentes disposiciones.” Texto anterior último párrafo: “La longitud del Identificador de Cliente deberá ser de al menos seis caracteres alfanuméricos o especiales.” Texto nuevo último párrafo: E L I M I N A D O • Artículo 72.- El ajusta al artículo en cuestión implica la eliminación de la fracción I; de igual forma se realiza un simple ajuste de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior primer párrafo: “Las instituciones de financiamiento colectivo deberán utilizar Factores de Autenticación para verificar la identidad de sus Clientes y la facultad de estos para realizar Operaciones a través del Medio Electrónico de que se trate. Dichos Factores de Autenticación, deberán ser de cualquiera de las siguientes categorías:” Texto nuevo primer párrafo: “Las instituciones de financiamiento colectivo deberán utilizar Factores de Autenticación para verificar la identidad de sus Clientes y la facultad de estos para realizar Operaciones a través del Medio Electrónico de que se trate. Dichos Factores de Autenticación, deberán de ser cualquiera de los siguientes:” Texto anterior fracción I: “I. Factor de Autenticación categoría 1: se compone de información obtenida mediante la aplicación de cuestionarios al Cliente, automatizados o por parte de operadores telefónicos o remotos, en los cuales se requieran datos que el Cliente conozca y que las instituciones de financiamiento colectivo puedan validar. Las instituciones de financiamiento colectivo, en la utilización de este factor, para verificar la identidad de sus Clientes, deberán observar lo siguiente: a) Contar con procedimientos automatizados para practicar cuestionarios aleatorios, de forma automatizada o vía remota por los operadores, impidiendo que sean utilizados de forma discrecional. b) Definir un conjunto de preguntas abiertas en cuestionarios de al menos tres preguntas y, en el evento de que la respuesta a una de ellas sea incorrecta, se podrá formular una pregunta adicional. En ningún caso las respuestas a estas preguntas podrán ser datos que se muestren en el Medio Electrónico ni se encuentren en comunicaciones impresas o electrónicas enviadas por las instituciones de financiamiento colectivo a sus Clientes. c) Validar las respuestas proporcionadas por sus Clientes a través de herramientas informáticas, sin que el operador pueda consultar o acceder a los datos de autenticación de los Clientes.” Texto nuevo fracción I: E L I M I N A D O Texto anterior fracción II (ahora I): “II. Factor de Autenticación categoría 2: se compone de información que solo el Cliente defina, conozca e ingrese a través de un dispositivo de acceso, tales como Contraseñas y Números de Identificación Personal (NIP) y deberá cumplir con las características siguientes: a) y b) . . . . . .” Texto nuevo fracción II (ahora I): “I. Información, como Contraseñas y Números de Identificación Personal (NIP), que las instituciones de financiamiento colectivo proporcionan al Cliente o permiten a este generar y que solamente él conozca para ingresar a la Plataforma e iniciar la Operación de que se trate y que deberá tener las características siguientes: a) y b) . . . . . .” Texto anterior fracción III (ahora II): “III. Factor de Autenticación categoría 3: se compone de Información contenida, recibida o generada por medios o dispositivos electrónicos, así como la obtenida o recibida por dispositivos generadores de Contraseñas dinámicas de un solo uso (OTP, one time password por sus siglas en inglés), dichos medios o dispositivos deberán ser proporcionados o validados y registrados por las instituciones de financiamiento colectivo para sus Clientes y la información contenida o generada por ellos podrá ser proporcionada, entre otros formatos, en códigos de respuesta rápida (QR, quick response por sus siglas en inglés). En todo caso se cumplirá con las características siguientes:” a) a d) . . . . . .” Texto nuevo fracción III (ahora II) “II. Información contenida, recibida o generada por medios o dispositivos electrónicos que solo posee el Cliente, incluida la obtenida o recibida por dispositivos o aplicativos generadores de Contraseñas dinámicas de un solo uso (OTP, one time password por sus siglas en inglés), dichos medios o dispositivos deberán ser proporcionados o validados y registrados por las instituciones de financiamiento colectivo para sus Clientes y la información contenida o generada por ellos podrá ser proporcionada, entre otros formatos, en códigos de respuesta rápida (QR, quick response por sus siglas en inglés). En todo caso se cumplirá con las características siguientes: a) a d) . . . . . .” Texto anterior fracción IV (ahora III): “IV. Factor de Autenticación categoría 4: se compone de información del Cliente derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano, patrones en iris o retina y reconocimiento facial, entre otras. El proceso de captura de datos biométricos deberá impedir que un empleado, directivo o funcionario de la institución de financiamiento colectivo registre sus propios datos biométricos en sustitución de los correspondientes a los del Cliente.” Texto nuevo fracción IV (ahora fracción III): “III. Información derivada de características físicas, tales como huellas dactilares, geometría de la mano, patrones en iris o retina y reconocimiento facial. Para el uso de esa información se deberá contar con la previa autorización de la CNBV. Las instituciones de financiamiento colectivo que utilicen esta información como Factor de Autenticación, deberán asegurarse de que los datos biométricos de sus empleados, directivos o funcionarios no sean utilizados en sustitución de los del Cliente.” • Artículo 73.– El ajusta al artículo en comento implica un ajuste en la redacción que impacta en el trámite de autorización que fue presentado ante esa CONAMER con anterioridad mismo que actualmente se denomina “Autorización para utilizar factores de autenticación distintos a los de categoría 4.”. Lo anterior, toda vez que ahora se autorizarán los factores de autenticación con características distintas a las señaladas en las fracciones I a III del presente artículo, por lo cual se modificará el trámite en comento. Texto anterior: “Las instituciones de financiamiento colectivo podrán solicitar a la CNBV que apruebe factores de Autenticación distintos a los señalados en el artículo 72, fracción IV de las presentes disposiciones, siempre que acrediten que la tecnología utilizada, a juicio de la propia CNBV, resulta fiable para autenticar a sus Clientes. “ La solicitud para obtener la aprobación de la CNBV deberá contener lo siguiente: I. . . . II. La evidencia que acredite el funcionamiento de la tecnología, así como que esta presenta características similares o superiores en términos de calidad respecto de los Factores de Autenticación. III. . . .” Texto nuevo “Las instituciones de financiamiento colectivo podrán solicitar a la CNBV que apruebe Factores de Autenticación con características distintas a las señalados en el artículo 72, fracciones I y II de las presentes disposiciones o en la utilización de la información señalada en la fracción III de dicho artículo, siempre que acrediten que la tecnología utilizada, a juicio de la propia CNBV, resulta fiable para autenticar a sus Clientes. La solicitud para obtener la aprobación de la CNBV, según sea el caso, deberá contener lo siguiente: I. . . . II. La descripción de sus especificaciones técnicas y funcionales, y en su caso las certificaciones con las que cuente. III. . . .” • Artículo 76, fracción V y último párrafo.- El ajusta al artículo en cuestión implica un simple ajuste de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior “. . . I. a IV. . . . V. Consultas de estados de cuenta de uno o más periodos que permitan conocer información relacionada con el Cliente y sus Operaciones. No será necesario el referido segundo factor, para el caso de la consulta de estados de cuenta, siempre que el Cliente haya iniciado su Sesión con un Factor de Autenticación de categoría 3 o 4. Las instituciones de financiamiento colectivo, cuando acuerden con sus Clientes que la consulta de los estados de cuenta sea a través de correo electrónico, la información que se transmita deberá hacerse de forma cifrada o con mecanismos que eviten su lectura por parte de terceros no autorizados y, para que el Cliente tenga acceso a dicha información, requerirán de un Factor de Autenticación de categoría 2 a que se refiere el artículo 72 de las presentes disposiciones, el cual deberá ser distinto al registrado para iniciar Sesión.” Texto nuevo “. . . I. a IV. . . . V. Consultas de estados de cuenta de uno o más periodos que permitan conocer información relacionada con el Cliente y sus Operaciones. No será necesario el referido segundo factor, para el caso de la consulta de estados de cuenta, siempre que el Cliente haya iniciado su Sesión con un Factor de Autenticación a los que se refieren las fracciones II y III del artículo 72 de estas disposiciones. Las instituciones de financiamiento colectivo, cuando acuerden con sus Clientes que la consulta de los estados de cuenta sea a través de correo electrónico, la información que se transmita deberá hacerse de forma cifrada o con mecanismos que eviten su lectura por parte de terceros no autorizados y, para que el Cliente tenga acceso a dicha información, requerirán de un Factor de Autenticación a las que se refieren las fracciones II y III a que se refiere el artículo 72 de las presentes disposiciones.” Artículo 77. – La presente modificación implicó trasladar la fracción I del artículo 72, con la finalidad de aclarar que el factor de autenticación con este tipo de características únicamente deberá ser observado por las instituciones de financiamiento colectivo en los servicios prestados a través de centros de atención, canales electrónicos de mensajería o por agentes automatizados. De igual forma se reubica la última fracción del artículo 80 a este artículo 77. Texto anterior: “I. Factor de Autenticación categoría 1: se compone de información obtenida mediante la aplicación de cuestionarios al Cliente, automatizados o por parte de operadores telefónicos o remotos, en los cuales se requieran datos que el Cliente conozca y que las instituciones de financiamiento colectivo puedan validar. Las instituciones de financiamiento colectivo, en la utilización de este factor, para verificar la identidad de sus Clientes, deberán observar lo siguiente: a) Contar con procedimientos automatizados para practicar cuestionarios aleatorios, de forma automatizada o vía remota por los operadores, impidiendo que sean utilizados de forma discrecional. b) Definir un conjunto de preguntas abiertas en cuestionarios de al menos tres preguntas y, en el evento de que la respuesta a una de ellas sea incorrecta, se podrá formular una pregunta adicional. En ningún caso las respuestas a estas preguntas podrán ser datos que se muestren en el Medio Electrónico ni se encuentren en comunicaciones impresas o electrónicas enviadas por las instituciones de financiamiento colectivo a sus Clientes. c) Validar las respuestas proporcionadas por sus Clientes a través de herramientas informáticas, sin que el operador pueda consultar o acceder a los datos de autenticación de los Clientes.” Texto nuevo “Las instituciones de financiamiento colectivo que ofrezcan servicios a sus clientes a través de centros de atención telefónica, canales electrónicos de mensajería o por agentes automatizados, podrán realizar la identificación de sus Clientes y verificar su identidad mediante cuestionarios, en cuyo caso deberán observar lo siguiente: I. Deberán requerir datos que el Cliente conozca y que las instituciones de financiamiento colectivo puedan validar, manteniendo la debida confidencialidad de dicha información. II. Contar con procedimientos para practicar cuestionarios aleatorios de forma automatizada o vía remota por los operadores, en este último caso, impidiendo que sean utilizados de forma discrecional. III. Definir un conjunto de preguntas abiertas en cuestionarios de al menos tres preguntas y, en el evento de que la respuesta a una de ellas sea incorrecta, se podrá formular una pregunta adicional. En ningún caso las respuestas a estas preguntas podrán ser datos que se muestren en el Medio Electrónico ni se encuentren en comunicaciones impresas o electrónicas enviadas por las instituciones de financiamiento colectivo a sus Clientes. IV. Validar las respuestas proporcionadas por sus Clientes a través de herramientas informáticas, sin que el operador pueda consultar o acceder a los datos de autenticación de los Clientes. Las instituciones de financiamiento colectivo podrán utilizar cuestionarios para desbloquear los Factores de Autenticación que previamente hayan sido Bloqueados en los casos contemplados en el artículo 80 de las presentes disposiciones. En caso de realizar a sus Clientes preguntas secretas, cuyas respuestas han sido proporcionadas previamente por el Cliente, estas deben conservarse almacenadas en forma Cifrada. Para efectos de lo previsto en el presente párrafo, se entenderá por pregunta secreta al cuestionamiento que define el Cliente o la institución de financiamiento colectivo, respecto del cual se genera información como respuesta. Cada pregunta secreta que se defina únicamente podrá ser utilizada en una ocasión.” • Artículo 78.– La presente modificación, mediante la adición de un último párrafo, excluye a las instituciones de financiamiento colectivo a confirmar aquellas operaciones que se realicen mediante inversiones automáticas. Lo que generará un beneficio adicional a los destinatarios de la norma y no genera cambios en el sentido del artículo en cuestión. Texto anterior: “Las instituciones de financiamiento colectivo deberán solicitar a sus Clientes que confirmen la Operación y sus características, previo a que se ejecute, haciendo explícita la información para darle certeza al Cliente de la Operación que se realiza. “ Texto nuevo: “Las instituciones de financiamiento colectivo deberán solicitar a sus Clientes que confirmen la Operación y sus características, previo a que se ejecute, haciendo explícita la información para darle certeza al Cliente de la Operación que se realiza. Tratándose de la realización de las inversiones automáticas a que se refiere el artículo 54 de las presentes disposiciones, la confirmación a que alude el párrafo anterior solo se requerirá para contratar el referido servicio. “ • Artículo 80.- El ajuste al artículo en cuestión implica la eliminación del último párrafo; por lo que es un simple cambio de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior: “. . . I. y II. . . . Las instituciones de financiamiento colectivo podrán Desbloquear los Factores de Autenticación que previamente hayan sido Bloqueados en los casos contemplados en las fracciones I y II anteriores, para lo cual podrán utilizar un Factor de Autenticación de categoría 1 o bien, realizar a sus Clientes preguntas secretas, cuyas respuestas deben conservarse almacenadas en forma Cifrada. Para efectos de lo previsto en el presente párrafo, se entenderá por pregunta secreta al cuestionamiento que define el Cliente o la institución de financiamiento colectivo, respecto del cual se genera información como respuesta. Cada pregunta secreta que se defina únicamente podrá ser utilizada en una ocasión.” Texto nuevo: “. . . I. y II. . . . (Último párrafo eliminado)” • Artículo 81.- El ajuste al artículo en cuestión implica un simple cambio de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior “. . . I. y II. . . . III. Tendrán prohibido solicitar a sus Clientes, a través de sus funcionarios, empleados o representantes, la información parcial o completa, de los Factores de Autenticación categoría 2 o 3 a que se refiere el artículo 72 de las presentes disposiciones. IV. Para los Factores de Autenticación categoría 4, deberán incorporar a la información de Autenticación obtenida por dispositivos biométricos, elementos que aseguren que dicha información sea distinta cada vez que sea generada a fin de constituir Contraseñas de un solo uso, que en ningún caso puedan utilizarse nuevamente o duplicarse con la de otro Cliente.” Texto nuevo: “. . . I. y II. . . . III. Tendrán prohibido solicitar a sus Clientes, a través de sus funcionarios, empleados o representantes, la información parcial o completa, de los Factores de Autenticación a que se refiere el artículo 72 de las presentes disposiciones. IV. En caso de obtener la aprobación para el uso de Los Factores de Autenticación de la fracción III del artículo 72 de las presentes disposiciones, deberán incorporar a la información de Autenticación obtenida por dispositivos biométricos, elementos que aseguren que dicha información sea distinta cada vez que sea generada a fin de constituir Contraseñas de un solo uso, que en ningún caso puedan utilizarse nuevamente o duplicarse con la de otro Cliente.” • Artículo 83 último párrafo.- El ajuste al artículo en cuestión implica un simple cambio de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior: “. . . I. a III. . . . Lo establecido en el presente artículo deberá quedar previsto en las políticas en materia de seguridad de la información que establezcan las instituciones de financiamiento colectivo.” Texto nuevo: “. . . I. a III. . . . Lo establecido en el presente artículo deberá quedar previsto en los manuales en materia de seguridad de la información que establezcan las instituciones de financiamiento colectivo referidos en el artículo 63, último párrafo de estas disposiciones.” DE LA CONTRATACIÓN DE SERVICIOS CON TERCEROS • Artículo 85.- El ajuste al artículo en cuestión implica un simple cambio de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior: “. . . I. Que impliquen la transmisión, almacenamiento, procesamiento, resguardo o custodia de Información Sensible o información biométrica de los Clientes, siempre y cuando el tercero contratado tenga privilegios de acceso para conocer dicha información, o a la información de configuración de seguridad, o bien a la administración de control de accesos. II. . . . . . . . . . Las instituciones de financiamiento colectivo deberán mantener los datos de los terceros que les proporcionen los servicios necesarios para su operación, incluyendo los mencionados en este artículo, en el padrón a que se refiere el artículo 88 de las presentes disposiciones.” Texto nuevo: “. . . I. Que impliquen la transmisión, almacenamiento, procesamiento, resguardo o custodia de Información Sensible, imágenes de identificaciones oficiales o información biométrica de los Clientes, siempre y cuando el tercero contratado tenga privilegios de acceso para conocer dicha información, o a la información de configuración de seguridad, o bien a la administración de control de accesos. II. . . . . . . . . . Las instituciones de financiamiento colectivo deberán mantener los datos de los terceros que les proporcionen los servicios en el padrón a que se refiere el artículo 88 de las presentes disposiciones.” • Artículo 86.– Se elimina el artículo 86 anterior para quedar de la siguiente manera. Como consecuencia de la eliminación del artículo 86 anterior y nuevo texto vigente del artículo en cuestión, se elimina el trámite denominado “Presentación del contrato de prestación de servicios con terceros.” Texto anterior: “Las instituciones de financiamiento colectivo deberán acompañar a la solicitud de autorización a que se refiere el artículo anterior, lo siguiente: I. La descripción detallada de los servicios a contratar, considerando las actividades que se pretendan realizar por la institución de financiamiento colectivo así como por prestador del servicio; las áreas de la propia institución de financiamiento colectivo y del tercero que participan en el flujo del servicio; nombre, descripción y funcionalidad de los sistemas que, en su caso, serán contratados para la prestación del servicio, o los sistemas de la institución de financiamiento colectivo que serán utilizados por el proveedor respectivo. II. La documentación que acredite que el tercero estará en condiciones de cumplir durante la prestación del servicio con lo siguiente: a) Mantener registros de auditoría íntegros que incluyan la información detallada de los accesos o intentos de acceso y la operación o actividad efectuadas por los Usuarios de la Infraestructura Tecnológica, a los cuales debe tener acceso personal autorizado de la institución de financiamiento colectivo. b) Contar con políticas y procedimientos de control de acceso a la información de acuerdo con los niveles de acceso y perfiles determinados por la institución de financiamiento colectivo. c) Realizar revisiones de seguridad a los servicios contratados o señalar la forma en la que se demostrará la realización de estas revisiones por parte de una persona especializada distinta al proveedor del servicio. III. El proyecto de contrato de prestación de servicios, en el que deberá señalarse la fecha probable de su celebración, las obligaciones de la institución de financiamiento colectivo y del tercero, incluyendo la determinación sobre la propiedad intelectual respecto de los diseños, desarrollos o procesos utilizados para la prestación del servicio. Dicho proyecto de contrato deberá ser presentado en idioma español. Asimismo, deberá quedar constancia, dentro del contrato, de la aceptación expresa por parte del tercero de: a) Apegarse a lo previsto en el artículo 54 de la Ley. b) Entregar en el desarrollo de una auditoría y a solicitud de la institución de financiamiento colectivo, al auditor externo independiente de la propia institución de financiamiento colectivo y a la CNBV, los libros, sistemas, registros, manuales y documentos en general, relacionados con la prestación del servicio de que se trate. Asimismo, permitir al auditor externo independiente o al personal de la CNBV el acceso a sus oficinas e instalaciones en general, relacionadas con la prestación del servicio en cuestión. c) Informar a la institución de financiamiento colectivo respecto de cualquier modificación a su objeto social o cualquier otro cambio que pudiera afectar la prestación del servicio objeto de la contratación, con por lo menos treinta días de anticipación a que suceda dicha modificación o cambio. d) Guardar confidencialidad respecto de la información que haya sido recibida, transmitida, procesada o almacenada durante la prestación de los servicios. Asimismo, aceptar que dicha información solamente puede usarse y explotarse para los fines pactados en la prestación del servicio. e) Ajustarse a las condiciones establecidas por la institución de financiamiento colectivo para efectuar la subcontratación parcial o total de los servicios, cuando así se haya establecido. f) Presentar dentro del periodo que la institución de financiamiento colectivo establezca, un plan de migración de información que contenga términos, condiciones y procesos para que el tercero garantice a la institución de financiamiento colectivo la transferencia, devolución o eliminación segura de la información sujeta al servicio contratado cuando deje de prestarlo. IV. Los términos, condiciones y procesos para que el tercero garantice a la institución de financiamiento colectivo la transferencia o devolución de la información, así como la eliminación completa de la información sujeta al servicio contratado. V. La descripción de los controles de vigilancia del desempeño del tercero, que deberán considerar cuando menos, el cumplimiento de sus obligaciones contractuales y de las presentes disposiciones, así como de los mecanismos que la institución de financiamiento colectivo llevará a cabo para establecer, revisar de manera permanente y vigilar la calidad y los tiempos de respuesta en los servicios. En dicha descripción se deberá incluir al menos los sistemas o herramientas utilizadas, reportes generados y su periodicidad. VI. La descripción de los servicios que los terceros podrán subcontratar, ya sea parcial o totalmente. VII. La descripción de los mecanismos de control e interfaces, que permitan mantener, por parte del tercero, la integridad de la información. VIII. La siguiente documentación respecto de la Infraestructura Tecnológica: a) La descripción de los enlaces de comunicación que incluya el nombre del proveedor, el ancho de banda, el tipo de servicio prestado, entre otros. b) Un diagrama de telecomunicaciones en donde se muestre la conexión existente entre cada uno de los participantes en la prestación del servicio (proveedores, centros de datos, institución de financiamiento colectivo, entre otros), incluyendo los esquemas de redundancia. c) La dirección completa del lugar en donde se realizarán cada uno de los servicios, así como de los centros de datos, primario y secundario, en donde se almacenará y procesará la información. En caso de que el lugar señalado se encuentre en territorio nacional debe incluirse, por lo menos, calle, número exterior e interior, colonia, alcaldía o municipio, código postal y estado. Tratándose de un sitio localizado en el extranjero deberán incluirse datos similares que permitan ubicar con certeza el lugar señalado. d) En su caso, el esquema de interrelación de aplicaciones o sistemas objeto de la contratación, incluyendo los sistemas propios de la institución de financiamiento colectivo, así como, los sistemas o aplicaciones utilizados por los terceros que se subcontraten. e) La descripción de las características técnicas de los sistemas, equipos y aplicaciones objeto de la contratación que contenga al menos lo señalado en el Anexo 14 de estas disposiciones. f) La documentación sobre la estrategia de continuidad del tercero que proporcione a la propia institución de financiamiento colectivo la capacidad de continuar con la prestación del servicio en caso de contingencias, fallas o interrupciones en las telecomunicaciones o en los equipos de cómputo centrales y otros que estén involucrados en el servicio contratado. g) El esquema de soporte técnico, a fin de solucionar problemas e incidencias, con independencia, en su caso, de las diferencias en husos horarios y días hábiles, detallando los horarios y canales de atención. h) Los mecanismos que permitirán a la institución de financiamiento colectivo, mantener en sus instalaciones los registros detallados de todas las Operaciones que se realicen, así como de sus registros contables al cierre diario. Dichos registros deberán mantenerse en un formato que permita su consulta y uso, con independencia de que el servicio contratado con el tercero no se encuentre disponible. IX. En relación con la seguridad de la información, la documentación siguiente: a) Aquella en donde se expongan los mecanismos para asegurar la transmisión de la información en forma cifrada punto a punto, incluyendo la versión de los protocolos de cifrado y componentes de seguridad de la Infraestructura Tecnológica implementados en cada uno de los nodos involucrados en el envío y recepción de datos. b) La que señale los mecanismos utilizados para cifrar la información de la institución de financiamiento colectivo y de los Clientes que será almacenada por el tercero contratado en sus equipos o instalaciones, de acuerdo con el grado de riesgo definido por la institución de financiamiento colectivo. c) La que contenga el detalle del tipo de información de la institución de financiamiento colectivo y Clientes que será almacenada por el tercero en sus equipos o instalaciones, o a la que podrá tener acceso, en su caso, incluyendo al menos la Información Sensible. d) Las políticas y procedimientos de respaldo de información del tercero que incluya, al menos, periodicidad de los respaldos, tipo de información que se respalda, ciclo de vida del medio de respaldo y mecanismos de resguardo, así como las políticas de destrucción o borrado seguro de la información. e) La que contenga la descripción de los mecanismos de control y vigilancia del acceso a los sistemas informáticos y a la Información Sensible transmitida, almacenada, procesada, resguardada o custodiada en dichos sistemas; así como de las bitácoras, bases de datos y configuraciones de seguridad que se establezcan al efecto. f) Listado de las certificaciones de seguridad y cumplimiento con las que cuenta el tercero prestador del servicio. X. Las políticas y procedimientos de la institución de financiamiento colectivo relativos a la realización de auditorías internas o externas sobre la Infraestructura Tecnológica y controles relacionados con el servicio contratado, al menos anualmente. XI. Tratándose de contratación de servicios de Cómputo en la Nube, describir adicionalmente lo siguiente: a) Tipo de nube, ya sea pública, privada o híbrida. b) Localidades específicas en donde se almacenará y procesará la información. c) Nombre del proveedor. Cuando las instituciones de financiamiento colectivo contraten a terceros que provean esquemas de nubes públicas o de virtualización en infraestructura compartida con otros clientes, se deberá proporcionar la descripción de los mecanismos de control que serán utilizados por la propia institución para garantizar la confidencialidad, integridad y disponibilidad de la Información Sensible.” Texto nuevo: “Las instituciones de financiamiento colectivo deberán acompañar a la solicitud de autorización a que se refiere el artículo anterior, lo siguiente: I. La descripción detallada y diagramas de flujo de los procesos de los servicios a contratar, considerando las actividades que se pretendan realizar por la institución de financiamiento colectivo, así como por el prestador del servicio; las áreas de la propia institución de financiamiento colectivo y del tercero que participan en el flujo del servicio.; nombre, descripción y funcionalidad de los sistemas que, en su caso, serán contratados para la prestación del servicio, o los sistemas de la institución de financiamiento colectivo que serán utilizados por el proveedor respectivo. II. El proyecto de contrato de prestación de servicios, en el que deberá señalarse la fecha probable de su celebración, los derechos y obligaciones de la institución de financiamiento colectivo y del tercero, incluyendo la determinación sobre la propiedad intelectual respecto de los diseños, desarrollos o procesos utilizados para la prestación del servicio. Dicho proyecto de contrato deberá ser presentado en idioma español. Asimismo, deberá quedar constancia, dentro del contrato, de la aceptación expresa por parte del tercero de: a) Apegarse a lo previsto en el artículo 54 de la Ley. b) Entregar en el desarrollo de una auditoría y a solicitud de la institución de financiamiento colectivo, al auditor externo independiente de la propia institución de financiamiento colectivo y a la CNBV, los libros, sistemas, registros, manuales y documentos en general, relacionados con la prestación del servicio de que se trate. Asimismo, permitir al auditor externo independiente o al personal de la CNBV el acceso a sus oficinas e instalaciones en general, relacionadas con la prestación del servicio en cuestión. c) Informar a la institución de financiamiento colectivo respecto de cualquier modificación a su objeto social o cualquier otro cambio que pudiera afectar la prestación del servicio objeto de la contratación, con por lo menos treinta días de anticipación a que suceda dicha modificación o cambio. d) Guardar confidencialidad respecto de la información que haya sido recibida, transmitida, procesada o almacenada durante la prestación de los servicios. Asimismo, aceptar que dicha información solamente puede usarse y explotarse para los fines pactados en la prestación del servicio. e) En caso de que el tercero realice la subcontratación para la prestación parcial o total de alguno de los servicios a las instituciones de financiamiento colectivo, la obligación de notificar a la propia institución respecto de dicha subcontratación; asimismo, que establecerá los mecanismos para que el subcontratado cumpla con las obligaciones pactadas y proporcione la información para los efectos del artículo 88 de las presentes disposiciones. f) Cumplir con los términos, condiciones y procesos para que el tercero garantice a la institución de financiamiento colectivo la transferencia, devolución y eliminación segura de la información sujeta al servicio contratado cuando deje de prestarlo. g) Mantener registros de auditoría íntegros que incluyan la información detallada de los accesos o intentos de acceso y la operación o actividad efectuadas por los Usuarios de la Infraestructura Tecnológica. Dichos registros deberán estar a disposición del personal autorizado de la institución de financiamiento colectivo. h) Contar con controles de acceso a la información de acuerdo con los niveles de acceso y perfiles determinados por la institución de financiamiento colectivo. i) Permitir a la institución de financiamiento colectivo realizar las revisiones de seguridad que se señalan en el artículo 64, fracciones II, III y IV de las presentes disposiciones a los servicios contratados o bien, proporcionar evidencia de la realización de estas revisiones. III. La siguiente documentación respecto de la infraestructura tecnológica: a) La descripción de los enlaces de comunicación utilizados por la institución de financiamiento colectivo para conectarse con el proveedor de servicios, que incluya el nombre del proveedor, el ancho de banda, el tipo de servicio prestado, entre otros. b) Un diagrama de telecomunicaciones en donde se muestre la conexión existente entre cada uno de los participantes en la prestación del servicio (proveedores, centros de datos, institución de financiamiento colectivo, entre otros), incluyendo los esquemas de redundancia. c) La dirección completa del lugar en donde se realizarán cada uno de los servicios, así como de los centros de datos, primario y secundario, en donde se almacenará y procesará la información. En caso de que el lugar señalado se encuentre en territorio nacional debe incluirse, por lo menos, calle, número exterior e interior, colonia, alcaldía o municipio, código postal y estado. Tratándose de un sitio localizado en el extranjero deberán incluirse datos similares que permitan ubicar con certeza el lugar señalado. Tratándose de servicios de computo en la nube solamente deberán proporcionar lo señalado en el inciso b de la fracción VII de este artículo. d) En su caso, el esquema de interrelación de aplicaciones o sistemas objeto de la contratación, incluyendo los sistemas propios de la institución de financiamiento colectivo. e) Los mecanismos de continuidad del servicio contratado. IV. Los mecanismos que permitirán a la institución de financiamiento colectivo, mantener en sus instalaciones los registros detallados de todas las Operaciones que se realicen, así como de sus registros contables al cierre diario. Dichos registros deberán mantenerse en un formato que permita su consulta y uso, con independencia de que el servicio contratado con el tercero no se encuentre disponible. V. Cuando el tercero tenga privilegios de acceso a las imágenes de identificaciones oficiales o información biométrica de los Clientes, presentar evidencia de los controles que mantendrá para garantizar la confidencialidad, integridad y disponibilidad de esta información. VI. Tratándose de contratación de servicios de Cómputo en la Nube, describir adicionalmente lo siguiente: a) Tipo de nube, ya sea pública, privada o híbrida. b) Regiones específicas donde se almacenará y procesará la información. c) En esquemas de nubes públicas o de virtualización en infraestructura compartida con otros clientes, la descripción de los mecanismos de control que serán utilizados para garantizar la confidencialidad, integridad y disponibilidad de la Información Sensible. VII. Descripción de los mecanismos para vigilar el desempeño del tercero contratado y el cumplimiento de sus obligaciones contractuales, incluyendo al menos las previstas en las presentes disposiciones. VIII. Planes para evaluar y reportar al Órgano de Administración o en su caso, al comité de auditoría de la institución de financiamiento colectivo, según la importancia del servicio contratado, el desempeño del tercero y el cumplimiento de la regulación aplicable relacionada con dicho servicio. IX. Evidencia que permita verificar que los terceros tengan e implementen políticas de protección de datos personales y confidencialidad de la información que permitan a la institución de financiamiento colectivo cumplir con las disposiciones legales que la rigen en la materia. Tratándose de servicios que se procesen, proporcionen o ejecuten total o parcialmente fuera de territorio nacional, las instituciones de financiamiento colectivo deberán acompañar la documentación que acredite que los terceros residen en países cuyo derecho interno proporciona protección a los datos de las personas, resguardando su debida confidencialidad, o bien, que dichos países mantengan suscritos con México acuerdos internacionales en dicha materia o de intercambio de información entre los organismos supervisores, tratándose de Entidades Financieras. La CNBV contará con un plazo de veinticinco días hábiles para resolver respecto de la solicitud de autorización a que se refiere el presente artículo; transcurrido este plazo sin pronunciamiento alguno, se entenderá la resolución en sentido positivo al promovente. Cualquier requerimiento de información adicional que realice la CNBV interrumpirá el plazo señalado en este artículo.” • Artículo 87.– Se elimina el artículo 87 anterior para quedar de la siguiente manera. Como consecuencia de la eliminación del artículo 87 anterior y nuevo texto vigente del artículo en cuestión, se elimina el trámite denominado “Presentación de modificaciones que tengan impacto en el servicio proporcionado por terceros.” Texto anterior: “Las instituciones de financiamiento colectivo para la contratación de servicios con terceros que sean objeto de autorización por la CNBV en términos de estas disposiciones, adicionalmente observarán lo siguiente: I. Contar con evidencia que permita verificar que los terceros con los que se contrate mantengan políticas de protección de datos personales y confidencialidad de la información que permitan a la institución de financiamiento colectivo cumplir con las disposiciones legales que la rigen en la materia. Tratándose de servicios que se procesen, proporcionen o ejecuten total o parcialmente fuera de territorio nacional, las instituciones de financiamiento colectivo deberán acompañar la documentación que acredite que los terceros residen en países cuyo derecho interno proporciona protección a los datos de las personas, resguardando su debida confidencialidad, o bien, que dichos países mantengan suscritos con México acuerdos internacionales en dicha materia o de intercambio de información entre los organismos supervisores, tratándose de Entidades Financieras. II. Mantener en sus oficinas principales, al menos la documentación e información relativa a las evaluaciones, resultados de auditorías y reportes de desempeño de los terceros contratados. III. Obtener la aprobación de su Órgano de Administración en la que conste que: a) Al contratar al tercero no se pone en riesgo el cumplimiento de las disposiciones aplicables a la institución de financiamiento colectivo. b) Las prácticas de negocio del tercero a contratar son consistentes con las de operación de la institución de financiamiento colectivo. c) No habría impacto en la estabilidad financiera o continuidad operativa de la institución de financiamiento colectivo, con motivo de la distancia geográfica y, en su caso, del lenguaje que se utilizaría en la prestación del servicio. IV. Entregar a la CNBV el contrato de prestación de servicios con el tercero de que se trate dentro de los 5 días hábiles posteriores a su celebración. V. Elaborar un documento que contenga el resultado del análisis de los riesgos relacionados con los servicios que pretende contratar con el tercero en donde se contemple, al menos, los legales y de reputación de la institución de financiamiento colectivo por incumplimientos del tercero contratado, así como por compartir su Infraestructura Tecnológica con terceros. VI. Incorporar en sus manuales de operación, de control interno y de administración de riesgos, aspectos que en materia de procesos operativos, Infraestructura Tecnológica, seguridad, y auditoría y supervisión, se contemplen en las presentes disposiciones, y mantenerlos actualizados. VII. Evaluar a través de su Órgano de Administración en la forma y periodicidad que este determine, el desempeño del tercero y su cumplimiento a las obligaciones contractuales y las derivadas de las disposiciones, pudiendo para tal efecto delegar esta función. VIII. Cuando existan modificaciones a la descripción a que se refiere el inciso e) de la fracción VIII del artículo 86 de estas disposiciones; que se consideren que tienen un impacto en cuanto al servicio proporcionado o que estén relacionadas con los sistemas, equipos y aplicaciones objeto de la contratación o con sus características técnicas, actualizar la descripción o documentación respectiva debiéndola entregar a la CNBV en un periodo de diez días hábiles posteriores a que se hayan implementado las modificaciones.” Texto nuevo: “Las instituciones de financiamiento colectivo para la contratación de servicios con terceros que sean objeto de autorización por la CNBV en términos de estas disposiciones, así como aquellos relacionados con procesos operativos y con administración de bases de datos y sistemas informáticos, deberán dar cumplimiento a lo siguiente: I. Tratándose de terceros que proporcionen servicios relacionados con procesos operativos y con administración de bases de datos y sistemas informáticos, pactar lo señalado en la fracción II del artículo 86 y conservar el contrato respectivo. II. Realizar, al menos anualmente, auditorías internas o externas sobre el servicio contratado o contar con evidencia de que el tercero contratado las lleva a cabo. III. Mantener en sus oficinas principales, al menos, la documentación e información relativa a las evaluaciones, resultados de auditorías y, en su caso, los planes de remediación que correspondan, así como los reportes de desempeño de los terceros contratados, incluyendo documentación respecto del cumplimiento de lo señalado en la fracción I de este artículo. IV. Actualizar la descripción o documentación respectiva cuando existan modificaciones que se consideren que tienen un impacto relevante en cuanto al servicio proporcionado o que estén relacionadas con los sistemas, equipos y aplicaciones objeto de la contratación o con sus características técnicas. V. Respecto de la Infraestructura Tecnológica y seguridad de la información, además de la información determinada en el artículo 86, fracción III, incisos b) y d) de estas disposiciones, contar con la siguiente documentación: a) La descripción de las características técnicas de los sistemas, equipos y aplicaciones objeto de la contratación que contenga al menos lo señalado en el Anexo 14 de estas disposiciones. b) Aquella en donde se detallen los mecanismos para asegurar la transmisión y almacenamiento de la información en forma Cifrada, en su caso, incluyendo la versión de los protocolos de Cifrado y componentes de seguridad en la Infraestructura Tecnológica. c) La que contenga el detalle del tipo de información de la institución de financiamiento colectivo y Clientes precisando, en su caso, el tipo de Información Sensible que será almacenada por el tercero en sus equipos o instalaciones, o a la que podrá tener acceso, en su caso. d) La descripción de los mecanismos de control y vigilancia del acceso a los sistemas informáticos y a la Información Sensible transmitida, almacenada, procesada, resguardada o custodiada en dichos sistemas, así como de las bitácoras, bases de datos y configuraciones de seguridad que se establezcan al efecto. e) La evidencia de los controles y de los mecanismos de control a que se refieren las fracciones V y VI, inciso c) del artículo 86 de estas disposiciones. VI. Contar con la evidencia a la que alude la fracción IX del artículo 86 anterior. El director general o, en su caso, el administrador único será responsable de la implementación de las evaluaciones y los planes de remediación a que se refiere la fracción III de este artículo.” • Artículo 88.- El ajuste al artículo en cuestión implica un simple cambio de redacción, mismo que genera la eliminación del trámite denominado “Presentación del padrón de prestadores de servicios.” Texto anterior: “Las instituciones de financiamiento colectivo deberán contar con un padrón de todos sus prestadores de servicios que incluya, al menos, la siguiente información: I. a III. . . . IV. En su caso, nombre del sistema que soporta el servicio contratado con el tercero. V. y VI. . . . VII. Ubicación del centro de datos principal en donde se encuentran los equipos de procesamiento del sistema contratado. VIII. Ubicación del centro de datos alterno en donde se encuentran los equipos de procesamiento, en caso de recuperación del servicio contratado. IX. En su caso, número y fecha del oficio con el que la CNBV otorgó la autorización en el momento en que cuenten con ella. Las instituciones de financiamiento colectivo deberán actualizar el padrón a que se refiere este artículo y entregarlo a la CNBV en el transcurso del primer trimestre de cada año.” Texto nuevo: “Las instituciones de financiamiento colectivo deberán contar con un padrón de todos los prestadores de servicios, incluyendo aquellos proveedores subcontratados por estos, que incluya, al menos, la siguiente información: I. a III. . . . IV. En su caso, información de los sistemas que soportan el servicio contratado con el tercero, que incluya al menos el nombre, versión y función o propósito. V. y VI. . . . VII. En su caso, ubicación del centro de datos principal en donde se encuentran los equipos de procesamiento del sistema contratado. VIII. En su caso, ubicación del centro de datos alterno en donde se encuentran los equipos de procesamiento, en tratándose de la recuperación del servicio contratado. IX. En su caso, número y fecha del oficio con el que la CNBV otorgó la autorización. Las instituciones de financiamiento colectivo deberán mantener actualizado el padrón a que se refiere este artículo.” DE LA REVELACIÓN DE INFORMACIÓN EN LA PUBLICACIÓN DE SOLICITUDES Y PROYECTOS • Artículo 90.- El ajuste al artículo en cuestión implica un simple cambio de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior: “. . . I. a VIII. . . . IX. En su caso, los esquemas para compartir con los Inversionistas los riesgos de las Operaciones de financiamiento colectivo. X. . . .” Texto nuevo: “. . . I. a VIII. . . . IX. Los esquemas para compartir con los Inversionistas los riesgos de las Operaciones de financiamiento colectivo. X. . . .” • Artículo 92.- El ajuste al artículo en cuestión implica un simple cambio de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior: “. . . I. a XII. . . . XII. En su caso, los esquemas para compartir con los Inversionistas los riesgos de las Operaciones de financiamiento colectivo.” Texto nuevo: “. . . I. a XII. . . . XII. En caso de contar con ellos, los esquemas para compartir con los Inversionistas los riesgos de las Operaciones de financiamiento colectivo.” • Artículo 93.- El ajuste al artículo en cuestión implica un simple cambio de redacción sin que esto impacte de manera alguna en el contenido del mismo. Texto anterior: “. . . I. a VII. . . . VII. En su caso, los esquemas para compartir con los Inversionistas los riesgos de las Operaciones de financiamiento colectivo.” Texto nuevo: “. . . I. a VII. . . . VII. En caso de contar con ellos, los esquemas para compartir con los Inversionistas los riesgos de las Operaciones de financiamiento colectivo.” DE LA REVELACIÓN DE INFORMACIÓN DEL COMPORTAMIENTO DE PAGO Y DESEMPEÑO DEL SOLICITANTE O PROYECTO • Artículo 94, fracción II.- Se eliminaron los incisos a), b) y c), que contenían las definiciones siguientes: i) Incumplimiento, ii) Financiamiento vigente y iii) Financiamiento emproblemado; asimismo a fin de dar precisión y claridad a la fracción solo se definió “incumplimiento”, tratándose de aquellas Operaciones que celebren respecto de Financiamientos Colectivos de Deuda. Es importante destacar a CONAMER que la obligación y sus costos correspondientes ya se encontraban previstos en la Propuesta Regulatoria que se registró con el folio número 46878 del Sistema de Mejora Regulatoria (SIMIR) de esa autoridad. Texto anterior: “. . . I. . . . II. Indicadores de pago y de incumplimiento, indicando como mínimo, si el crédito está al corriente en sus pagos de principal e intereses, o en su defecto, cuántos pagos ha incumplido históricamente y el monto total que adeuda al momento de reportar, desglosado por principal y accesorios financieros. Para tales efectos, se deberá considerar lo siguiente: a) Incumplimiento, es aquel evento que se presenta cuando el pago realizado por el Solicitante no alcanza a cubrir el pago que se comprometió de acuerdo con la calendarización de pagos programada y convenida al pactar la Operación. b) Financiamiento vigente, es aquel que esté al corriente en sus pagos tanto de principal como de intereses. c) Financiamiento emproblemado, es aquel financiamiento respecto del cual, con base en información, hechos actuales y resultado del proceso de revisión que realice la institución de financiamiento colectivo, existe una probabilidad considerable de no recuperación total, tanto su componente de principal como de intereses, conforme a los términos y condiciones pactados originalmente. III. . . . . . .” Texto nuevo: “. . . I. . . . II. Indicadores de pago y de incumplimiento, señalando como mínimo, si el crédito está al corriente en sus pagos de principal e intereses, o en su defecto, cuántos pagos ha incumplido históricamente y el monto total que adeuda al momento de reportar, desglosado por principal y accesorios financieros. Para efectos de lo anterior, se entenderá como incumplimiento a aquel evento que se presenta cuando el pago realizado por el Solicitante no alcanza a cubrir el pago que se comprometió de acuerdo con la calendarización de pagos programada y convenida al pactar la Operación. III. . . . . . .” • Anexo 17 “Información agregada de las instituciones de financiamiento colectivo para la revelación al público en general” Se incorpora un cuadro adicional para aquella información que corresponderá al período reportado, cabe señalar que se trata de la misma información y que solo se separa y se ajustan los indicadores a fin de aclarar y precisar que una se trata de información acumulada y la otra solo del período reportado, para el caso de Financiamiento Colectivo de Deuda. Es importante destacar a CONAMER que la obligación y sus costos correspondientes ya se encontraban previstos en la Propuesta Regulatoria que se registró con el folio número 46878 del Sistema de Mejora Regulatoria (SIMIR) de esa autoridad. Adicionalmente, para facilitar la comprensión del Anexo se incorporando las definiciones siguientes: i) monto de financiamientos vigentes, ii) número de financiamientos vigentes, iii) monto de financiamiento en incumplimiento, iv) número de financiamientos en incumplimiento y v) número total de financiamientos. Asimismo, se ajustaron las definiciones “inversionistas activos”, “t” y “s”. Es importante destacar a CONAMER que la obligación y sus costos correspondientes ya se encontraban previstos en la Propuesta Regulatoria que se registró con el folio número 46878 del Sistema de Mejora Regulatoria (SIMIR) de esa autoridad. Texto anterior: “Donde: • Financiamiento vigente: Incluye el saldo total de los financiamientos que se encuentran al corriente en sus pagos durante el trimestre reportado. • Solicitantes de financiamiento activos: Número de Solicitantes que tienen un financiamiento en el período reportado. • Inversionistas activos: Número de Inversionistas que se encuentran aportando recursos a los Solicitantes en el período reportado. • t = trimestre más reciente que se reporta. t – 1 = trimestre inmediato anterior al que se reporta.” “Donde: • s = semestre más reciente que se reporta. s – 1 = semestre inmediato anterior al que se reporta.” Texto nuevo: “Donde: • t = trimestre más reciente que se reporta, con cifras al cierre de marzo, junio, septiembre y diciembre. t – 1 = . . . • Solicitantes de financiamiento activos: . . . • Inversionistas activos: número de Inversionistas que son acreedores en el periodo reportado. • Monto de financiamientos vigentes: incluye el saldo total insoluto de los financiamientos que se encuentran al corriente en sus pagos, tanto de principal como de intereses, de acuerdo a la calendarización de pagos programada y convenida al pactar la Operación. • Número de financiamientos vigentes: incluye el número total de los financiamientos que se encuentran al corriente en sus pagos, tanto de principal como de intereses, de acuerdo a la calendarización de pagos programada y convenida al pactar la Operación. • Monto de financiamientos en incumplimiento: incluye el saldo total de aquellos financiamientos en los que el Solicitante no ha cubierto el pago total de principal y/o intereses comprometidos de acuerdo a la calendarización de pagos programada y convenida al pactar la Operación. • Número de financiamientos en incumplimiento: incluye el número total de los financiamientos en los que el Solicitante no ha cubierto el pago total de principal y/o intereses comprometidos de acuerdo a la calendarización de pagos programada y convenida al pactar la Operación. • Número total de financiamientos = Número de financiamientos vigentes + Número de financiamientos en incumplimiento.” “Donde: • s = semestre más reciente que se reporta con cifras al cierre de junio y diciembre. s – 1 =. . .” Finalmente, se destaca a CONAMER que, en virtud que fueron eliminados tres trámites en materia de “Contratación de Servicios con Terceros”, se ajustó la monetización de los costos; lo anterior, puede analizarse en el documento denominado “Monetización costos vs beneficios (5-mar-19)” que se adjunta al presente AIR, particularmente en los apartados denominados: (i)“Tema 3. Contratación de Servicios con Terceros” del Cuadro 1, y (ii) TOTALES COSTOS-BENEFICIOS. En congruencia, también se ajustó la información conducente en el anexo denominado “Acuerdo 1x1 (5-mar-19)”.

Ante la inexistencia de disposiciones jurídicas vigentes aplicables a la problemática expuesta, la Resolución Modificatoria materia del presente AIR constituirá la regulación secundaria por virtud del cual se determinará el marco normativo tendiente a mantener el sano desarrollo, estabilidad y crecimiento del sistema financiero mexicano, atendiendo al mandato que la LRITF otorga a la CNBV, concretamente en sus artículos 18, fracción IV; 48, primer, párrafo; 54, primer párrafo y 56, segundo párrafo. En este entendido, con la entrada en vigor de la Resolución Modificatoria se persigue que el mercado de las tecnologías financieras se desarrolle con el mejor estándar, buscando así paridad de condiciones y una competencia sana y equilibrada, tomando en cuenta que esta última es uno de los factores clave que se pretende impulsar y preservar, en virtud de que la industria en análisis permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, promoviendo una mayor inclusión financiera, así como la reducción de costos y mejora en la prestación de dichos servicios.

Esquemas de autorregulación

Como se ha expuesto en los párrafos que anteceden, la regulación es una de las principales funciones de todo Gobierno, así como el principal instrumento mediante el cual promueve el bienestar social y económico. La calidad de la regulación y del proceso de diseño e implementación de sus políticas es un factor clave para lograr estabilidad macroeconómica, el incremento en el empleo, la calidad en los servicios sociales, la innovación y desarrollo empresarial, entre otros. Además, la CNBV tiene por mandato de ley supervisar y regular en el ámbito de su competencia a las entidades integrantes del sistema financiero mexicano.

Esquemas voluntarios

No es factible la existencia de esquemas voluntarios toda vez que la propia LRITF, en sus artículos 18, fracción IV; 48, primer párrafo; 49, primer párrafo; 54, primer párrafo, y 56, segundo párrafo establece que la CNBV será la autoridad competente para expedir las disposiciones de carácter general relativas a las materias de la presente Propuesta Regulatoria.

Incentivos económicos

No se estimó viable la emisión de un esquema de incentivos económicos, pues las disposiciones materia de la presente Propuesta Regulatoria, versan sobre facultades de la CNBV previstas en la LRITF, por lo que el cumplimiento a las leyes no puede estar supeditado a la obtención de un beneficio económico por parte de los particulares.

No emitir regulación alguna

No emitir regulación alguna no es una alternativa viable, en razón de que existe potestad prevista en la LRITF para que la CNBV emita, respecto de las IFC, disposiciones de carácter general en las materias objeto de la Propuesta Regulatoria. En este sentido, es necesario emitir la regulación correspondiente a fin de evitar lagunas jurídicas, al tiempo que se promueve un marco normativo completo y actual, que brinde certeza jurídica y permita un sano desarrollo del sistema financiero mexicano. Cabe señalar que, el Congreso de Unión otorgó a la CNBV plazos diversos para la expedición de la normatividad secundaria, los cuales son de 6, 12 y 24 meses, y las materias que conforman la Propuesta Regulatoria son aquellas con plazo de expedición de 12 meses.

Otro tipo de regulación

No se consideró adecuada la emisión de otro tipo de regulación ya que, como se ha señalado anteriormente, la Propuesta Regulatoria es el instrumento jurídico mediante el cual la CNBV cumple con el mandato de la LRITF al ejercer su facultad para emitir la regulación aplicable para las IFC. En tal virtud, la emisión de otro tipo de regulación daría lugar a incertidumbre jurídica y se perdería el orden normativo que prevalece con la Resolución Modificatoria que se emite con la presente Propuesta Regulatoria y que, además, permite la existencia de un sistema financiero mexicano ordenado, seguro y eficiente en protección de los intereses de las destinatarias de la norma y de los clientes de las IFC.

Crea

Conservación

Seis meses o tres años

NO APLICA

Información detallada de los accesos o intentos de acceso y la operación o actividad efectuada por los usuarios de la infraestructura tecnológica.

Instituciones de financiamiento colectivo.

No aplica

NO APLICA

(Artículo 63, fracción VIII, último párrafo de la Propuesta Regulatoria) Con el fin de asegurar que la CNBV tenga conocimiento y pueda ejercer su facultad de vigilancia de los accesos o intentos de acceso y las actividades efectuadas por los usuarios de la infraestructura tecnológica de las IFC, estas estarán obligadas a conservar los registros de auditoría que incluyan los accesos o intentos de acceso y la operación de los usuarios de la infraestructura cuando dichos registros se refieran a actividades realizadas sobre componentes que procesen o almacenen información considerada como crítica por la IFC, durante al menos tres años, tratándose de otros accesos la conservación se realizará por al menos seis meses.

Conservación de registro de accesos y actividades de los usuarios de la infraestructura tecnológica.

No aplica por tratarse de un trámite nuevo.

Crea

Obligación

Indefinida

Escrito libre presentado ante la oficialía de partes de la CNBV.

Conclusiones de las pruebas de penetración en los sistemas y aplicativos de la institución, las cuales deberá notificarse dentro de los siguientes veinte días hábiles de haberse finalizado dichas pruebas.

Instituciones de financiamiento colectivo.

No aplica

NO APLICA

(Artículo 64, fracción IV, último párrafo de la Propuesta Regulatoria) Con el fin de preservar la estabilidad financiera de las IFC y el patrimonio e información de estas y de sus clientes, así como para detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga en riesgo la información y patrimonio de los clientes y de las propias IFC, al igual que para verificar la integridad de los componentes de hardware y software que permitan detectar alteraciones de estos, es necesario que la CNBV tenga conocimiento de las pruebas de penetración realizadas en los sistemas y aplicativos de las IFC y, por ende, de las vulnerabilidades detectadas por dichas IFC en estos.

Notificación de conclusiones de pruebas de penetración.

No aplica por tratarse de un trámite nuevo.

Crea

Obligación

Indefinida

Escrito libre presentado ante la oficialía de partes de la CNBV

Indicar el personal responsable de la implementación y ejecución de los planes de remediación, los plazos en que se realizarán, las actividades llevadas a cabo y por realizar, así como los recursos técnicos, materiales y humanos que serán empleados.

Instituciones de financiamiento colectivo

No aplica

NO APLICA

(Artículo 64, fracción VI, segundo párrafo de la Propuesta Regulatoria). Con el fin de preservar la estabilidad financiera y operativa de las IFC, estas deberán enviar a la CNBV planes de remediación respecto de las vulnerabilidades que las IFC hayan detectado en sus sistemas y componentes críticos, previa la realización de escaneos y pruebas de penetración; de esta manera, la CNBV verificará que las vulnerabilidades halladas por las IFC se subsanarán y, de esta forma, se protegerán los intereses de sus usuarios.

Notificación de planes de remediación sobre vulnerabilidades en componentes y sistemas críticos.

No aplica por tratarse de un trámite nuevo.

Crea

Obligación

Indefinida

Por escrito enviado a la dirección electrónica Ciberseguridad_CNBV@cnbv.gob.mx u otros medios que disponga la CNBV al efecto.

(1) Reportar incidentes de seguridad de la información que se presenten en: i) los componentes de la infraestructura tecnológica; ii) los canales de atención a clientes, tales como medios electrónicos, o iii) la infraestructura tecnológica de cualquier tercero que afecte la operación o la infraestructura tecnológica de las IFC; o (2) Reportar eventos de seguridad de la información sean clasificados como graves a juicio de la IFC.

Instituciones de financiamiento colectivo.

No aplica

NO APLICA

(Artículo 67, fracción I de la Propuesta Regulatoria) Con el fin de asegurar que la CNBV tenga conocimiento de los eventos de seguridad de la información graves e incidentes de seguridad de la información que se presenten en las IFC, se establece la obligación de notificar a la CNBV, de manera inmediata, cuando dichas contingencias tengan lugar, y así, esta autoridad pueda actuar en consecuencia, a fin de evitar que estos se repliquen hacia otras instituciones del sistema financiero. Para alcanzar lo anterior, es necesario también que, dentro de los siguientes cinco días de ocurridos incidentes de seguridad de la información, se envíe la información contenida en los Anexos 11 y 12 de la Propuesta Regulatoria. Asimismo, con el objetivo de información y prevención antes indicado, las IFC también deberán enviar a la CNBV el resultado de la investigación y el plan de trabajo, el cual debe ser elaborado por el director general o el administrador único de la IFC, incorporando las causas que generaron el incidente de seguridad de la información y estableciendo en un plan de trabajo las acciones a implementar para eliminar o mitigar los riesgos y vulnerabilidades que propiciaron el incidente.

Notificación de incidentes de seguridad de la información.

No aplica por tratarse de un trámite nuevo.

Crea

Obligación

Indefinida

Escrito libre presentado ante la oficialía de partes de la CNBV

Indicar, al menos, el personal responsable del diseño del plan del trabajo, implementación, ejecución y seguimiento, plazos para su ejecución, así como los recursos técnicos, materiales y humanos que se emplearán al efecto.

Instituciones de financiamiento colectivo.

No aplica

No aplica.

(Artículo 67, fracción II de la Propuesta Regulatoria) Con el fin de preservar la estabilidad financiera de las IFC, así como el patrimonio e información de estas y de sus clientes, las IFC, al generarse un incidente de seguridad de la información, deberán elaborar un plan de trabajo en el que se detallen acciones a tomar a efecto de mitigar o eliminar los riesgos o vulnerabilidades que hayan dado margen al incidente de seguridad de la información y, de esta manera, asegurar que dicho incidente no permee al interior del sistema financiero.

Notificación de plan de trabajo para eliminar o mitigar riesgos y vulnerabilidades que generen incidentes de seguridad de la información.

No aplica por tratarse de un trámite nuevo.

Crea

Conservación

10 años.

No aplica.

i) Conservación de bases de datos de eventos de seguridad de la información calificados como graves por la IFC e incidentes de seguridad de la información, y ii) Incluir la información relacionada con la detección de fallas, errores operativos, intentos de ataques informáticos y aquellos efectivamente llevados a cabo, así como la pérdida, extracción, alteración, extravío o uso indebido de información de los usuarios de la infraestructura tecnológica en donde se contemple la fecha del suceso y descripción de este, duración, servicio o canal afectado, clientes afectados, montos y las medidas correctivas implementadas.

Instituciones de financiamiento colectivo.

No aplica

No aplica.

(Artículo 68 de la Propuesta Regulatoria) Con el fin de asegurar que, en el momento que así lo requiera, la CNBV tenga conocimiento de los eventos de seguridad de la información, incidentes de seguridad de la información, fallas o vulnerabilidades detectadas en la infraestructura tecnológica, las IFC estarán obligadas a conservar un registro de bases de datos de todos estos sucesos, así como de las medidas correctivas que hayan implementado en razón de los eventos, incidentes, fallas o vulnerabilidades detectadas; de esta manera, la CNBV puede llevar a cabo procedimientos de prevención para evitar que estos sucesos para evitar que se repitan o repliquen al interior del sistema financiero.

Conservación de registro en bases de datos de incidentes, fallas o vulnerabilidades en la infraestructura tecnológica.

No aplica por tratarse de un trámite nuevo.

Crea

Beneficio

Indefinida.

Escrito libre presentado ante la oficialía de partes de la CNBV.

Acreditar ante la CNBV que la tecnología utilizada resulta fiable para autenticar a sus clientes. Asimismo, la solicitud de autorización deberá contener: (i) La descripción detallada de los procesos relacionados con el uso de la tecnología utilizada; (ii) Evidencia que acredite el funcionamiento de dicha tecnología, así como que la tecnología utilizada presenta características similares o superiores en términos de calidad respecto de los factores de autenticación, y (iii) Evidencia de la aprobación de la tecnología, por el órgano de administración de la IFC.

Instituciones de financiamiento colectivo.

Negativa

90 días (Artículo 5 de la LRITF).

(Artículo 73 de la Propuesta Regulatoria). El presente trámite prevé que las IFC podrán obtener autorización para utilizar factores de autenticación distintos a los de categoría 4, siempre y cuando se acredite de manera indubitable ante la CNBV que la tecnología utilizada resulta fiable para autenticar a sus Clientes. Lo anterior, considerando que la pérdida de datos o violación de estos implica un grave riesgo para cualquier tipo de industria. Además de los costos tangibles, como multas y honorarios legales, los efectos sobre la reputación pueden ser particularmente devastadores. Según American Banker, el 82 % de los clientes abandonaría una institución financiera si tuvieran una brecha de seguridad y el 74 % seleccionaría una entidad financiera basada en la reputación de la organización. La confianza es clave en el sector financiero. Esta necesidad de confianza y seguridad es un desafío siempre que se adoptan nuevas tecnologías. Aunque estos pueden traer importantes beneficios, también pueden crear vulnerabilidades o nuevos puntos de acceso para las partes malintencionadas que buscan información de clientes u otra información financiera delicada. No obstante lo anterior, también se busca fomentar la inclusión financiera, acercando los servicios financieros a personas y sectores que tradicionalmente no han sido parte del sistema financiero, promoviendo una mayor educación financiera y asesoría sobre estas nuevas alternativas. Como consecuencia, se busca generar innovación en la prestación de servicios financieros, a través de otorgar herramientas a las entidades financieras para propiciar un aumento en el uso de los servicios mencionados, al tiempo de preservar la estabilidad financiera mediante la implementación de un marco regulatorio general con reglas prudenciales proporcionales a los riesgos que representan en distintas materias, como son aquellos financieros, operacionales, de mercado y tecnológicos (ciber-seguridad), que de igual forma cuente con un rango de flexibilidad razonable que no implique una barrera al acceso o al a prestación de servicios financieros. Por dicha razón es que aquellas IFC que tengan intención de utilizar un factor de autenticación distinto a los de categoría 4 tendrán la posibilidad de solicitar autorización de la CNBV con la intención de acreditar que los medios que pretenden utilizar para autenticar a sus clientes no vulneran o ponen riesgo de ninguna manera la seguridad en las operaciones de sus clientes y que, al contrario, implican un beneficio para el sector financiero.

Autorización para utilizar factores de autenticación distintos a los de categoría 4.

No aplica por tratarse de un trámite nuevo.

Crea

Obligación

Indefinida.

Escrito libre presentado ante la oficialía de partes de la CNBV.

La solicitud de autorización debe estar acompañada de los siguientes requisitos enunciados en el Artículo 86 de la Propuesta Regulatoria: i) Descripción detallada de los servicios a contratar; ii) Documentación que acredite que el tercero cumplirá con mantener registros de auditoría, contar con políticas y procedimientos de control de acceso a la información y realizar revisiones de seguridad a los servicios contratados; iii) Proyecto de contrato de prestación de servicios que contemple las obligaciones mencionadas en los incisos a) a f) de la misma fracción; iv) Términos, condiciones y procesos para que el tercero garantice a la IFC la transferencia o devolución de la información sujeta al servicio contratado; v) Descripción de los controles de vigilancia del desempeño del tercero; vi) Descripción de los servicios que los terceros podrán subcontratar, ya sea parcial o totalmente; vii) Descripción de los mecanismos de control e interfaces, que permitan mantener la integridad de la información durante todo el proceso operativo; viii) Documentación respecto de la infraestructura tecnológica descritas en los incisos a) a h) de la fracción mencionada, entre las que se incluyen la descripción de las características técnicas de los sistemas, equipos y aplicaciones objeto de la contratación que contenga, al menos, lo señalado en el Anexo 14 de la Propuesta Regulatoria; ix) Documentación respecto a la seguridad de la información; x) Políticas y procedimientos relativos a la realización de auditorías internas o externas sobre la infraestructura tecnológica y controles, relacionados con el servicio contratado, al menos anualmente; xi) Descripción de los servicios de “Cómputo en la Nube”, y xii) Tratándose de la contratación de nubes públicas o de virtualización en infraestructura compartida con otros clientes, la descripción de los mecanismos de control que serán utilizados por la propia institución para garantizar la confidencialidad, integridad y disponibilidad de la denominada “Información Sensible”.

Instituciones de financiamiento colectivo.

Afirmativa

85 días

(Artículo 85 y Anexo 14 de la Propuesta Regulatoria). Resulta necesario que las IFC que contraten servicios con un tercero soliciten a la CNBV una autorización acompañada de la información necesaria, con la intención de verificar que el tercero que preste cualquiera de los servicios señalados en las Disposiciones aplicables a las instituciones de tecnología financiera (Disposiciones ITF) cumpla con los requisitos necesarios para prestar un servicio de calidad y que la prestación de esos servicios no va a poner en peligro el buen funcionamiento de la IFC; asimismo la información que contienen estos documentos es esencial para que la CNBV realice sus labores de supervisión adecuadamente. Al incorporar estas normas al marco jurídico aplicable a las IFC, se logra disminuir el riesgo tecnológico que pudieran tener los servicios en nube si se alojaran en jurisdicciones sujetas a regulación distinta de la aplicable a las IFC mexicanas. Para alcanzar lo anterior, la Propuesta Regulatoria prevé políticas y procedimientos para seleccionar y contratar al tercero, o bien, para supervisar los servicios contratados, al igual que mecanismos que permitan contar con información detallada, actualizada y oportuna, y establecer los controles mínimos para la contratación de dichos proveedores, dando cumplimiento en todo momento a lo establecido por la LRITF.

Autorización para que las instituciones de financiamiento colectivo contraten servicios con terceros.

No aplica por tratarse de un trámite nuevo.

Crea

Obligación

Indefinida.

A través del Sistema Institucional de Transferencia de Información (SITI) de la CNBV, y con la temporalidad indicada en los artículos 100 y 102 de la Propuesta Regulatoria.

Utilizando los reportes regulatorios contenidos en los Anexos 18 y 19 de las Disposiciones ITF.

Instituciones de financiamiento colectivo e instituciones de fondos de pago electrónico.

No aplica

No aplica.

(Artículos 99 a 104 de la Propuesta Regulatoria). A fin de que la CNBV tenga conocimiento de la información relacionada con las operaciones y actividades llevadas a cabo los las IFC y las instituciones de fondos de pago electrónico, resulta necesario estas entidades envíen, según sea el caso, diariamente, mensualmente, trimestralmente o por evento, los diversos reportes regulatorios; lo anterior, permitirá que la CNBV, como autoridad supervisora, cuente con los insumos necesarios que le permitan llevar a cabo sus labores de inspección y vigilancia.

Envío de reportes regulatorios.

No aplica por tratarse de un trámite nuevo.

Crea

Obligación

Indefinida.

A través de un correo electrónico a la dirección cesiti@cnbv.gob.mx.

indicar el nombre de la persona responsable de la calidad y envío de la información contenida en los reportes regulatorios, y en la forma señalada en el Anexo 20 de las Disposiciones ITF.

Instituciones de financiamiento colectivo e instituciones de fondos de pago electrónico.

No aplica

No aplica.

(Artículo 104, cuarto párrafo y Anexo 20 de la Propuesta Regulatoria). A fin de que la CNBV tenga conocimiento de la persona o personas que serán responsables del envío de los reportes regulatorios y de la calidad de su contenido, y sea precisamente con estas personas con quien la CNBV tenga contacto para cualquier aclaración o ampliación de la información.

Designación de responsables de envío de reportes regulatorios.

No aplica por tratarse de un trámite nuevo.

Otras

Artículo 51, segundo párrafo de las Disposiciones ITF.

Como una flexibilización para las IFC, se elimina el requisito de que los accionistas que tengan el control de la IFC actúen como avalistas, garantes o fiadores en cada uno de los préstamos o créditos, en el trámite de autorización para obtener créditos de los referidos en el artículo 19, fracción IV de la LRITF, los cuales tienen como destino compartir con los inversionistas los riesgos de los proyectos, subsistiendo únicamente el requisitos consisten en que la IFC acredite ante la CNBV que los términos de dichos préstamos o créditos no ponen en riesgo su solvencia y estabilidad financiera.

Establecen obligaciones

Artículos 63; 64; 65, segundo párrafo, y 67, así como Anexos 11 y 12 de la Propuesta Regulatoria.

La Propuesta Regulatoria plantea las obligaciones que tendrá el director general o, en su caso, el administrador único, respecto a la seguridad de la información, las cuales tienen como fin crear los controles internos con los que deberán contar las IFC para la protección de la información que tengan en su poder. Al efecto, se está proponiendo regular las funciones respecto de la infraestructura tecnológica, la salvaguarda de la confidencialidad, integridad y disponibilidad de la información de los usuarios de la infraestructura tecnológica contenida en aplicativos y sistemas, toda vez que repercute en la estabilidad financiera de la IFC, así como de sus clientes. Con lo anterior, se persigue evitar la fuga de información, el fortalecimiento de los activos tecnológicos para lograr la estabilidad de las IFC y salvaguardar a otras instituciones que integran el sistema financiero, al evitar que las vulnerabilidades en la infraestructura tecnológica detectados permeen hacia estas últimas.

Establecen obligaciones

Artículos 65, 66 y Anexo 13 de la Propuesta Regulatoria.

Es menester que exista una figura que vele por la seguridad de la información de las IFC y que asuma un rol activo en la búsqueda de vulnerabilidades en los sistemas para la detección de fallas, errores o vulnerabilidades en la infraestructura tecnológica que permita su identificación para crear medidas y procedimientos tendientes a evitar la materialización de un incidente de seguridad de la información y, de esta forma, preservar la estabilidad financiera de las IFC y de sus clientes, todo ello utilizando al efecto los lineamientos y criterios establecido en el Anexo 13 de la Propuesta Regulatoria. Cabe destacar que, el CISO puede ser designado como tal para varias entidades financieras que formen parte de consorcios o grupos empresariales.

Establecen obligaciones

Artículos 69, 78 y 79 de la Propuesta Regulatoria.

Los artículos en cuestión tienen como finalidad que las IFC transparenten en todo momento que las operaciones que se realicen mediante medios electrónicos cuentan con el soporte de procedimientos y mecanismos previamente desarrollados por las propias IFC, para que estas se desenvuelvan en un ambiente seguro que fomente el debido desarrollo del sistema financiero en su conjunto. Esto, mediante la constante comunicación entre las IFC y sus clientes, a efecto de que estos conozcan los riesgos y responsabilidad en la celebración de operaciones a través medios electrónicos antes y durante la celebración de estas, que los clientes sean notificados por las IFC al celebrar una operación de este tipo y que puedan conocer cualquier tipo de modificación a los términos y condiciones para el uso de medios electrónicos previo a la fecha en que las IFC pretendan aplicarlas. Lo anterior, con el propósito de proteger al consumidor, toda vez que el desarrollo de nuevas tecnologías y el avance de las existentes, generan nuevos riesgos y desafíos, por lo cual resulta conveniente establecer el marco jurídico específico que deberán observar las IFC, a fin de fortalecer la seguridad y confidencialidad de la información transmitida, almacenada o procesada a través de medios electrónicos, contando con mecanismos que controlen la integridad de dicha información.

Establecen obligaciones

Artículos 71, 72, 76, 80 y 81 de la Propuesta Regulatoria.

Los artículos que nos ocupan tienen como finalidad establecer los mecanismos de identificación y autenticación mediante los cuales las IFC puedan asegurarse de que los únicos que tendrán acceso a la sesión correspondiente para llevar a cabo operaciones a través de medios electrónicos sean los usuarios. Por dicha razón, resulta necesario establecer procedimientos y mecanismos que las IFC deberán utilizar para identificar a la persona que realiza operaciones a través de medios electrónicos, con el propósito de coadyuvar a prevenir, inhibir, mitigar y, en su caso, detectar alguna conducta ilícita que tuviera como fin la suplantación de identidad. En consistencia con lo señalado anteriormente y para efecto de otorgar certeza en la identidad de los posibles clientes de las IFC en la contratación, sin presencia física, de ciertas operaciones, se establece la forma y mecanismos para llevar a cabo la identificación de las personas en dichas contrataciones, considerando los estándares tecnológicos utilizados en otros países, ello con la intención de prevenir la realización de operaciones irregulares o ilegales que puedan resultar en una afectación a la situación financiera de las IFC o de sus clientes.

Establecen obligaciones

Artículo 77 de la Propuesta Regulatoria.

Mediante la incorporación del presente artículo se pretende que las IFC, previo a que sus clientes realicen operaciones mediante medios electrónicos, se aseguren de que la cuenta de destino haya sido registrada con anterioridad, con la intención de evitar afectaciones al patrimonio de las propias IFC o de sus clientes.

Establecen obligaciones

Artículos 82 y 83 de la Propuesta Regulatoria.

El objetivo de estos preceptos es hacer frente a riesgos y ataques informáticos que pudieran ocasionar afectaciones a las IFC y a la realización de operaciones con sus clientes. Por dicha razón, resulta conveniente establecer un marco normativo sobre seguridad de sus sistemas e infraestructuras tecnológicas, así como reforzar los controles internos con los que deberán contar, estableciendo un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan sus operaciones y la confidencialidad, integridad y disponibilidad de la información, a fin de que cuenten con medidas específicas, tendientes a proteger su información, certeza en su operación y continuidad de los servicios.

Establecen obligaciones

Artículo 84 de la Propuesta Regulatoria.

Con la finalidad de que las IFC cuenten con personal calificado y apto para brindar a los usuarios soporte técnico y operacional, se establece la obligación para dichas entidades financieras de contratar al personal necesario a fin de que, en caso de alguna eventualidad, las IFC tengan los recursos humanos, tecnológicos y materiales para hacerle frente sin poner en riesgo la estabilidad de su patrimonio y el de sus clientes.

Establecen obligaciones

Artículo 87 de la Propuesta Regulatoria.

Resulta necesario, establecer las obligaciones adicionales que deben cumplir las IFC en materia de contratación de terceros que les presten servicios que sean objeto de autorización por parte de la CNBV, con la finalidad de evitar todo tipo de incertidumbre jurídica para las destinatarias de la norma en virtud de que saben con precisión cuáles obligaciones adicionales habrán de observar. Como ya se ha mencionado, actualmente no existe marco normativo que regule esta la materia, por lo que, al incorporar estas normas al marco jurídico aplicable a las IFC, se logran disminuir los riesgos tecnológicos, legales y de reputación de las IFC por incumplimientos en los servicios contratados; asimismo, se prevén los elementos para realizar una adecuada supervisión y los mecanismos que permitan contar con información detallada, actualizada y oportuna, y establecer los controles mínimos para la contratación de dichos proveedores, dando cumplimiento en todo momento a lo establecido por la LRITF.

Establecen obligaciones

Artículo 89 de la Propuesta Regulatoria.

La obligación para las IFC que contraten con terceros servicios relacionados con algún proceso operativo o tecnológico que contemple la transmisión, almacenamiento, procesamiento, resguardo y custodia de la información sensible o con la administración de sus bases de datos o sistemas informáticos, de integrar un expediente por cada uno de los terceros contratados, se prevé con la finalidad de que dichas entidades cuenten con información que demuestre que los terceros que contrataron cumplen con las disposiciones aplicables y, así, tener un control de dicha información, lo que facilita las labores de supervisión de la CNBV.

Establecen obligaciones

Artículo 90 de la Propuesta Regulatoria.

Que las IFC proporcionen a los posibles inversionistas la mayor cantidad de información posible a efecto de que estos puedan realizar inversiones informadas. Esto tiene relevancia considerando que los resultados del estudio “Beyond information: Disclosure, distracted attention, and investor behavior”, de Hillenbrand y Schmelzer, mostraron que las personas invirtieron en promedio 14 % más en aquellas instituciones en los que la información presenta elementos adicionales, respecto de aquellos en los que la información se presentaba de manera menos clara, lo cual podría generar un aumento en la cartera de clientes de las IFC, al tiempo en el que se protegen los intereses de sus clientes.

Establecen obligaciones

Artículos 91, 92, 95 y Anexo 15 de la Propuesta Regulatoria.

Con la incorporación de los artículos que nos ocupan, se promoverá la transparencia en las operaciones que celebren las IFC con sus clientes y posibles clientes, ya que se pone a su disposición toda la información relevante respecto de los proyectos de inversión, informando las ventajas, beneficios, riesgos y costos. Con lo anterior, se generará que los clientes adopten decisiones económicas más acertadas causando un aumento tanto en el patrimonio de estos como en los activos de las IFC, lo cual fomentará el crecimiento sostenido de este nuevo sector y del sistema financiero mexicano en su conjunto.

Establecen obligaciones

Artículos 93, 96 y Anexo 16 de la Propuesta Regulatoria.

Con la inserción de los artículos en cuestión, se atiende a las mejores prácticas financieras, considerando que las IFC, como profesionales en la materia, respecto de cada proyecto que promuevan en su plataforma, les sea exigible que velen tanto por sus intereses como por los de sus clientes, lo que se traducirá en el deber de facilitar información financiera completa y comprensible de los proyectos de inversión que estas publican a través de sus plataformas. Con lo anterior, se pretende garantizar el derecho de los clientes a seleccionar la IFC y el proyecto que mejor convenga a sus intereses, así como para que puedan seguir comparando otras ofertas del mercado, durante la vida de una operación, ya que, llegado el caso, puede resultarle interesante cancelar la operación en vigor y concertar otra nueva, más ventajosa, con otra IFC.

Establecen obligaciones

Artículos 94 y 97 de la Propuesta Regulatoria.

Con la inserción de los artículos que se indican se busca minimizar los riesgos que conlleva el que un posible inversionista no cuente con información adecuada y suficiente y consecuentemente, carezca de un adecuado entendimiento sobre la operación financiera que pretenda realizar con lo que se genere una falsa percepción de satisfacción de corto plazo, sin que entienda los riesgos o costos implícitos o no evidentes que a largo plazo afecten su patrimonio. De lo anterior, deviene la importancia de que los inversionistas cuenten con toda la información que les permita conocer de manera puntual cuáles son las características técnicas y de operación de los proyectos de inversión que las IFC promueven a través de sus plataformas, en particular de aquello que afectará el desempeño de su inversión, como lo es el nivel de tasa, las condiciones de contratación general y el nivel de riesgo.

Establecen obligaciones

Artículo 98 y Anexo 17 de la Propuesta Regulatoria.

El objetivo que se persigue es que las IFC pongan a disposición de sus clientes y posibles clientes la información estadística agregada por cada plataforma, permitiéndoles allegarse de información oportuna, comparable y estandarizada para evaluar la orientación de negocio y los resultados obtenidos por las IFC, para que de esta manera se encuentren en posición de tomar la mejor decisión para sus intereses y salvaguardando su patrimonio.

Establecen obligaciones

104, quinto, sexto y séptimo párrafos de la Propuesta Regulatoria.

La posibilidad de cambiar las claves de acceso al SITI a las personas designadas por la IFC o la institución de fondos de pago electrónico como responsable del envío de los reportes regulatorios y de la calidad de su contenido, tienen como finalidad que la CNBV tenga certeza de la identidad de dichas personas designadas, en caso de que sea necesario sustituir a las originalmente designadas.

Otras

Artículo 2, fracciones I, II, III, V, VII, VIII, IX, X, XI, XII, XIX, XX, XXI, XXVI, XXVII, XXX, XXXIV, XXXV, XXXVI y XXXIX, y 50, fracciones V, tercer párrafo de las Disposiciones ITF.

Los cambios propuestos no representan una acción regulatoria en sí y, por tanto, no generan costo alguno para las instituciones de tecnología financiera; sin embargo, para que CONAMER cuente con toda la información soporte para su análisis respecto la Propuesta Regulatoria, se le manifiesta lo siguiente: 1. Se incorporaron 20 nuevas figuras y su correspondiente definición, ello con el fin de facilitar a las destinatarias de la norma el cumplimiento de sus obligaciones en términos de la mencionada sección. 2. Se ajustan las siguientes referencias normativas: a) Artículo 50, fracción V, tercer párrafo, para precisar que los inversionistas experimentados son los referidos ahora en el inciso d), fracción XXIII del artículo 2 de las Disposiciones ITF. b) Anexo 9 de la Disposiciones ITF, para precisar la fracción correlativa del artículo 2 de las Disposiciones ITF, debido a la inserción de las nuevas definiciones y consecuente cambio en el orden de su numeración.

Instituciones de tecnología financiera.

Como se indicó en el Apartado denominado “Calidad Regulatoria” del presente AIR, el 9 de marzo de 2018 se publicó en el DOF la LRITF. Esta ley tiene por objeto regular la prestación de servicios financieros a través de tecnología y mandata a las autoridades financieras, entre ellas a la CNBV, a emitir en plazos determinados regulación a fin de permitir la debida operación de las IFC, las cuales pueden dedicarse a la prestación de servicios consistentes en poner en contacto a solicitantes de financiamiento con inversionistas, a fin de que entre ellos se destinen recursos para el financiamiento de actividades; el financiamiento puede ser de deuda, de capital o de copropiedad o regalías. Necesariamente, las IFC deben incorporar el uso de aplicaciones informáticas, interfaces, páginas de Internet o cualquier otro medio de comunicación electrónica o digital. Así, es necesario resaltar que estas actividades de financiamiento deben prestarse invariablemente a través de tecnología y ello es una característica que distinguirá la prestación de estos servicios. Ahora bien, por lo que toca a la emisión de la regulación que compete a la CNBV, el Congreso de la Unión mandató que ciertas reglas deben emitirse en un plazo de 12 meses contados a partir de la entrada en vigor de la citada Ley. En este orden de ideas, es indispensable hacer del conocimiento de CONAMER que las reglas serán aplicables a un sector de reciente creación e incorporación al sistema financiero y respecto del cual esta CNBV carece de información suficiente a fin de estimar los posibles costos de cumplimiento de su aplicación, ello debido a que se desconoce el número de entidades que lo conforman, pues las sociedades actualmente interesadas en constituirse como IFC se encuentran realizando o por realizar las gestiones conducentes a obtener la autorización que al efecto podrá otorgar la CNBV. Dicho de otra manera, a diferencia de los sectores actualmente regulados por la CNBV, respecto de los cuales existe una estrecha interrelación, así como flujo continuo de información, esta autoridad desconoce el número total de las entidades que eventualmente conformarán este nuevo sector y no cuenta con las facultades y mecanismos suficientes para poder estimar el costo de la implementación de la regulación. No obstante lo anterior, debe hacerse énfasis en que la CNBV estima que los costos de cumplimiento no serán significativos por una sencilla razón: las IFC usan tecnología, lo cual hace sus procesos altamente escalables, más económicos y la prestación de sus servicios más transparente y estandarizada. Incluso, la LRITF no les impone obligaciones en relación con su estructura de gobierno corporativo. Es imperante establecer que este sector será de los conformados por las llamadas start-ups y eso se tomó en cuenta en el diseño de la regulación que con anterioridad dictaminó CONAMER y la complementaria que ahora se presenta a esa autoridad. Todo ello en beneficio del propio sector y de sus clientes. Ahora bien, para el análisis de los costos de cumplimiento de la regulación, y con el fin de coadyuvar a CONAMER, la CNBV consideró la información pública que existe, así como los costos de cumplimiento que para otras entidades financieras ha llegado a representar la implementación de regulación similar. Considerando todo lo anterior, esta CNBV presenta los posibles costos de cumplimiento, habiendo realizado un ejercicio de aproximación en relación con el número hipotético de 21 IFC, lo que no significa que ese será el definitivo de entidades que conformarán este sector. Cabe destacar que este número es la media más 1 del propuesto por la CNBV de 41 instituciones de tecnología financiera –conformadas por IFC e instituciones de fondos de pago electrónico- en el AIR que se sometió a dictamen de CONAMER para la expedición de las disposiciones de carácter general con plazo de expedición de 6 meses, la cual obra en el expediente número 05/0082/070818. Véase: http://www.cofemersimir.gob.mx/portales/resumen/45920# VÉASE: ANEXO “MONETIZACIÓN COSTOS Y BENEFICIOS”.

Instituciones de tecnología financiera. Como se ha indicado, por tratarse de un sector de reciente creación, la CNBV carece de información que le permita obtener una monetización de los beneficios que conllevaría la implementación de la Propuesta Regulatoria; no obstante lo anterior, en el anexo denominado “Monetización costos y beneficios”, se describen de manera cualitativa, y en los casos en que procedió, cualitativamente, los beneficios solicitados.

VÉASE: ANEXO “MONETIZACIÓN COSTOS Y BENEFICIOS”.

Circulación del borrador a grupos o personas interesadas y recepción de comentarios

Integrantes del sector de instituciones de tecnología financiera en México.

Se incluyó en la Propuesta Regulatoria.