Sistema de Manifestación de Impacto Regulatorio
Estás aquí: Inicio /mirs/48861
AIR de impacto Moderado
Indique el (los) supuesto (s) de calidad para la emisión de regulación en términos del artículo 3 del Acuerdo de Calidad Regulatoria.
Si
No
Si
No
El Banco de México (Banxico) como banco central del Estado Mexicano tiene, entre sus objetivos prioritarios, promover el sano desarrollo del sistema financiero y propiciar el buen funcionamiento de los sistemas de pagos. Por su parte, la Comisión Nacional Bancaria y de Valores (CNBV), órgano desconcentrado de la Secretaría de Hacienda y Crédito Público, tiene por objeto supervisar y regular en el ámbito de su competencia a las entidades integrantes del sistema financiero mexicano, a fin de procurar su estabilidad y correcto funcionamiento, así como mantener y fomentar su sano y equilibrado desarrollo, en protección de los intereses del público, erigiéndose como la autoridad que supervisa y regula dicho sistema. Por otro lado, Banxico cuenta con facultades para expedir disposiciones cuando tengan por propósito la regulación monetaria o cambiaria, el sano desarrollo del sistema financiero, el buen funcionamiento del sistema de pagos, o bien, la protección de los intereses del público; esto sin perjuicio de las demás disposiciones que los preceptos de otras leyes le faculten a emitir. En el mismo sentido, la CNBV cuenta con atribuciones para regular y supervisar a las entidades financieras y demás personas señaladas en la Ley de la Comisión Nacional Bancaria y de Valores (LCNV). Como reguladora del sistema financiero, desarrolla proyectos tendientes a la emisión y mejoramiento de la normatividad de su competencia, tomando en cuenta las mejores prácticas nacionales e internacionales, lo cual implica tanto la revisión y reforma de la norma vigente, como la creación de nuevos instrumentos normativos para completar los marcos jurídicos derivados de la legislación originada por los cambios económicos, sociales y tecnológicos. Ahora bien, el 9 de marzo de 2018, se publicó en el Diario Oficial de la Federación (DOF) el “Decreto por el que se expide la Ley para Regular las Instituciones de Tecnología Financiera y se reforman y adicionan diversas disposiciones de la Ley de Instituciones de Crédito, de la Ley del Mercado de Valores, de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, de la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, de la Ley para Regular las Sociedades de Información Crediticia, de la Ley de Protección y Defensa al Usuario de Servicios Financieros, de la Ley para Regular las Agrupaciones Financieras, de la Ley de la Comisión Nacional Bancaria y de Valores y, de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita”. En concreto, la Ley para Regular las Instituciones de Tecnología Financiera (LRITF) establece que, tratándose de instituciones de fondos de pago electrónico (IFPE), la CNBV y Banxico tendrán facultades para emitir conjuntamente disposiciones de carácter general en materias relativas a: (i) la seguridad de la información, incluyendo las políticas de confidencialidad y registro de cuentas sobre movimientos transaccionales; (ii) el uso de medios electrónicos, ópticos o de cualquier otra tecnología; (iii) sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos; (iv) de continuidad operativa; (v) contratación con terceros la prestación de servicios necesarios para su operación, y (vi) el funcionamiento y uso de la infraestructura tecnológica que se utilice para otorgar servicios o realizar operaciones, así como las formas de autenticación que efecto se lleven a cabo. Adicionalmente, las IFPE, en la realización de sus operaciones y actividades y de conformidad con las disposiciones que conjuntamente emitan la CNBV y Banxico, deberán evaluar por medio de terceros independientes el cumplimiento de los requerimientos de seguridad de la información, uso de medios electrónicos y continuidad operativa. Todo ello, tiene por objetivo fomentar el crecimiento de este nuevo sector, al igual que para preservar su estabilidad y correcto funcionamiento. A continuación, se indican los artículos de la LRITF, Ley del Banco de México y LCNBV que facultan a la CNBV y a Banxico para emitir disposiciones de carácter general en la materia objeto de la presente Propuesta Regulatoria que se somete a consideración de esa Comisión Nacional de Mejora Regulatoria (CONAMER), mediante este Análisis de Impacto Regulatorio (AIR): LRITF: “Artículo 48.- . . . Tratándose de instituciones de fondos de pago electrónico, la CNBV y el Banco de México emitirán conjuntamente disposiciones de carácter general en materia de seguridad de la información, incluyendo las políticas de confidencialidad y registro de cuentas sobre movimientos transaccionales, el uso de medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos y continuidad operativa. . . . . . . . . . . . .” (énfasis añadido) “Artículo 54.- Las ITF podrán pactar con terceros, localizados en el territorio nacional o el extranjero, la prestación de servicios necesarios para su operación, de conformidad con las disposiciones de carácter general que para tal efecto emitan la CNBV respecto de instituciones de financiamiento colectivo y conjuntamente con el Banco de México respecto de las instituciones de fondos de pago electrónico. Dichas Autoridades Financieras podrán señalar en estas disposiciones el tipo de servicios que requerirán de autorización. . . . . . .” (énfasis añadido) “Artículo 56.- . . . El funcionamiento y uso de tales equipos, medios y formas de autenticación se sujetará a los requisitos establecidos en las disposiciones de carácter general que para tal efecto emita la CNBV, respecto de las instituciones de financiamiento colectivo, o la propia CNBV y el Banco de México, de manera conjunta, respecto de las instituciones de fondos de pago electrónico. . . . . . .” (énfasis añadido) LEY DEL BANCO DE MÉXICO “Artículo 24.- El Banco de México podrá expedir disposiciones en términos de la presente Ley, solamente cuando tengan por propósito la regulación monetaria o cambiaria, el sano desarrollo del sistema financiero, el buen funcionamiento del sistema de pagos, o bien, la protección de los intereses del público; esto sin perjuicio de las demás disposiciones que los preceptos de otras leyes faculten al Banco a expedir en las materias ahí señaladas. Al expedir sus disposiciones, el Banco deberá expresar las razones que las motivan. . . . . . . . . .” “Artículo 26.- Las características de las operaciones activas, pasivas y de servicios que realicen las instituciones de crédito, así como las de crédito, préstamo o reporto que celebren los intermediarios bursátiles, se ajustarán a las disposiciones que expida el Banco Central. Asimismo, las entidades financieras deberán cumplir con aquellas otras disposiciones de carácter general que emita el Banco de México en ejercicio de las facultades que las leyes que regulen a las citadas entidades le confieran para regular las materias que señalen al efecto. . . . . . . ” LCNBV: “Artículo 4.- Corresponde a la Comisión: I. a XXXV. . . . XXXVI. Emitir las disposiciones necesarias para el ejercicio de las facultades que esta Ley y demás leyes le otorgan y para el eficaz cumplimiento de las mismas y de las disposiciones que con base en ellas se expidan; XXXVII. . . . XXXVIII. Las demás facultades que le estén atribuidas por esta Ley, por la Ley Reglamentaria de la Fracción XIII Bis del Apartado B, del Artículo 123 de la Constitución Política de los Estados Unidos Mexicanos y por otras leyes.” (énfasis añadido) Derivado de lo preceptuado por la LRITF y como consecuencia de su reciente expedición, aun no se han emitido disposiciones de carácter general en la materia de la presente Propuesta Regulatoria, y con la intención de no generar lagunas normativas que puedan causar incertidumbre jurídica, esta CNBV somete a consideración de esa CONAMER las “Disposiciones aplicables a las instituciones de fondos de pago electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera”. (Disposiciones).
Apartado I.- Definición del problema y objetivos generales de la regulación
| 1. Describa los objetivos generales de la regulación propuesta#1 La CNBV se encuentra facultada para emitir disposiciones de carácter general, conjuntamente con Banxico, orientadas a preservar la estabilidad y correcto funcionamiento de las IFPE, de manera concreta en las siguientes materias: 1) seguridad de la información, incluyendo las políticas de confidencialidad y registro de cuentas sobre movimientos transaccionales; 2) uso de medios electrónicos, ópticos de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean públicos o privados y continuidad operativa; 3) contratación con terceros localizados en el territorio nacional o en el extranjero de los servicios necesarios para la operación de las propias IFPE, y 4) el funcionamiento y uso de equipos, medios y formas de autenticación para dar acceso a sus clientes. En este sentido, los objetivos de la Propuesta Regulatoria son los siguientes: 1. Que las IFPE estén en condiciones de hacer frente a riesgos y ataques que pudieran ocasionarles afectaciones a ellas y a la realización de operaciones con sus clientes; por lo que resulta conveniente establecer el marco normativo sobre seguridad de sus sistemas e infraestructura tecnológica, así como determinar los controles internos que deberán tener, contando con un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan sus operaciones y la confidencialidad, integridad y disponibilidad de la información, teniendo medidas específicas para proteger su información, otorgar certeza en su operación y continuidad de los servicios. 2. Que las IFPE, a través de la contratación de terceros independientes, evalúen el nivel de cumplimiento de los requerimientos de seguridad de la información, el uso de canales de instrucción y continuidad operativa, lo que permitirá otorgar certeza jurídica a estas entidades financieras y a sus clientes en la realización de sus operaciones, beneficio que permeará hacia todo el sistema financiero. 3. Ya que las IFPE operan a través de infraestructura tecnológica, esto es, utilizando medios remotos, aplicaciones informáticas, interfaces, páginas de Internet o cualquier otro medio de comunicación electrónica o digital, resulta indispensable a la luz del artículo 56 de la LRITF, regular el funcionamiento y uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, incluyendo las formas de autenticar tanto a las propias IFPE como a sus clientes, cumpliendo con los principios de neutralidad tecnológica y protección al consumidor establecidos en la LRITF. 4. Que las IFPE cuenten con la posibilidad jurídica de celebrar contratos con terceros, ya sea localizados en territorio nacional como en el extranjero, de los servicios necesarios para su operación, estableciéndose al efecto los servicios que requerirán de la autorización de CNBV y de Banxico, tomando en cuenta para ello la debida protección de la información sensible de los clientes de estas entidades financieras. Como se ha señalado, actualmente no existe un marco jurídico secundario en las materias objeto de la presente Propuesta Regulatoria, por lo cual, con su entrada en vigor se persigue que el mercado de las tecnologías financieras se desarrolle de manera ordenada con un marco jurídico apegado a las mejores prácticas nacionales e internacionales, buscando así condiciones homogéneas con el resto de las entidades financieras, al igual que una competencia sana y equilibrada, tomando en cuenta que esta última es uno de los factores clave que se pretende impulsar y cuidar, en virtud de que la industria de tecnología financiera permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, promoviendo una mayor inclusión financiera, así como la reducción de costos y mejora en la prestación de dichos servicios. |
Como se ha expuesto a lo largo del presente AIR, la Propuesta Regulatoria surge principalmente por la falta de marco secundario aplicable a las entidades financieras destinatarias de la norma, y para la elaboración de las normas que esta CNBV y BANXICO están proponiendo, se tomó en consideración la regulación aplicable a otras entidades del sistema financiero, así como también los principios contenidos en la propia LRITF relativos a la innovación financiera, promoción de la competencia, protección a los clientes y usuarios, preservación de la estabilidad financiera, neutralidad tecnológica e inclusión financiera para que, en atención a ello, se fomente por un lado el crecimiento de las IFPE, y por otro se evite que, a través de estas nuevas entidades financieras, se lleven a cabo operaciones con estándares regulatorios distintos a los aplicables a otras instituciones financieras que realizan actividades similares; lo anterior, en protección de los intereses de los clientes de las IFPE, al igual que del sistema financiero en su conjunto y del sistema de pagos y, sobre todo, para preservar la estabilidad y correcto funcionamiento de la operación y servicios que prestan dichas instituciones. Adicionalmente a la problemática o situación que se pretende atender, también es de destacarse que, ante la ausencia del marco secundario descrito en el párrafo anterior: i) las operaciones y servicios que se celebran mediante las IFPE no pueden desarrollarse de manera adecuada por la incertidumbre jurídica que se deriva de dicha carencia; ii) los nuevos participantes que desean incorporarse a esta innovadora forma de prestar servicios financieros a través de soluciones tecnológicas, se vean desalentados por no contar con reglas claras que normen sus actividades y operaciones, y iii) no es posible tomar medidas necesarias en aras de prevenir la realización de operaciones con recursos de procedencia ilícita. Es importante resaltar que la Propuesta Regulatoria también abona a incrementar la inclusión financiera de la población, toda vez que se está dotando de un marco normativo seguro y confiable, que reconoce la aplicación de las nuevas tecnologías y modelos de negocio.
Disposiciones de carácter general.
| Disposiciones jurídicas vigentes#1 Ante la inexistencia de disposiciones jurídicas vigentes aplicables a la problemática expuesta, las Disposiciones que constituyen la materia de la presente Propuesta Regulatoria y objeto del AIR, constituirán la regulación secundaria aplicable a las IFPE y complementa el marco normativo especial para las IFPE emitido por la CNBV contenido en las “Disposiciones de carácter general aplicables a las instituciones de tecnología financiera” que se publicaron en el DOF el 10 de septiembre de 2018 y modificadas mediante resolución publicada en el citado DOF el 25 de marzo de 2019. Con ello, se cumple totalmente al mandato previsto en la LRITF, que establece las atribuciones para la CNBV y para BANXICO para ello, concretamente en sus artículos 48, segundo párrafo; 54, primer párrafo y 56, segundo párrafo. En este entendido, con la entrada en vigor de las Disposiciones se persigue que el mercado de las tecnologías financieras se desarrolle con el mejor estándar, buscando así paridad de condiciones y una competencia sana y equilibrada, tomando en cuenta que esta última es uno de los factores clave que se pretende impulsar y preservar, en virtud de que la industria en análisis permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, promoviendo una mayor inclusión financiera, así como la reducción de costos y mejora en la prestación de dichos servicios. |
Apartado II.- Identificación de las posibles alternativas a la regulación
| Alternativas#1 Esquemas de autorregulación No se consideró viable la emisión de un esquema de autorregulación, dado que: (i) no se tendría un marco integral; (ii) no se atenderían las situaciones que dan origen a la intervención gubernamental, (iii) no permitiría la estandarización de las normas aplicables a las instituciones de tecnología financiera y en especial para las IFPE, y (iv) no se contaría con una normatividad acorde a la LRITF y a los estándares internacionales. Adicionalmente, se entorpecerían las labores de supervisión de la CNBV y Banxico, ya que se tendrían esquemas desiguales de aplicación de los aspectos que comprende la presente Propuesta Regulatoria, lo cual generaría un mercado desordenado e inseguro, en detrimento del patrimonio e intereses de los clientes y usuarios de las instituciones de tecnología financiera. | |
| Alternativas#2 Esquemas voluntarios No se estimó una opción viable la emisión de esquemas voluntarios, toda vez que, como estos son de carácter discrecional, se generarían reglas diferenciadas y no se permitiría igualdad de circunstancias al operar en el mercado financiero. Además, estos esquemas generarían incertidumbre jurídica para los clientes y usuarios de las IFPE, al igual que para sector financiero en su conjunto, quienes se verían afectados al no tener seguridad jurídica respecto de los servicios y operaciones que estas entidades de tecnología financiera realizan. En adición a lo señalado en el párrafo anterior, no es factible la existencia de esquemas voluntarios toda vez que la propia LRITF, mandata en sus artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafos que la CNBV y Banxico serán las autoridades competentes para expedir las disposiciones de carácter general relativas a las materias de la presente Propuesta Regulatoria, por lo que la emisión de las disposiciones materia del presente AIR es una obligación legal prevista en un ordenamiento de orden público y observancia general. | |
| Alternativas#3 Incentivos económicos El objeto de la presente Propuesta Regulatoria no podría instrumentarse a través de incentivos económicos ya que, de acuerdo a lo previsto por la LCNBV, Ley del Banco de México y demás leyes aplicables al sistema financiero, estas autoridades no dispone de recursos para la implementación de dichos esquemas respecto al tema que versa la Propuesta Regulatoria; asimismo, el mercado financiero se vería distorsionado por la entrega de estos incentivos, generando competencia desleal, además de que dejaría en duda los objetivos que persigue la regulación. De igual forma, no se estimó viable la emisión de un esquema de incentivos económicos, pues las disposiciones materia de la presente Propuesta Regulatoria, versan sobre facultades de la CNBV y de Banxico previstas en la LRITF, por lo que el cumplimiento a las leyes no puede estar supeditado a la obtención de un beneficio económico por parte de los particulares. | |
| Alternativas#4 No emitir regulación alguna El no emitir regulación no es una opción que se considere viable, toda vez que al encontrarse previsto en la LRITF la facultad tanto de la CNBV como de Banxico para emitir disposiciones de carácter general para las IFPE, en las materias sobre las que versa la Propuesta Regulatoria, estas instituciones de tecnología financiera adolecerían de un cuerpo normativo que atienda las necesidades del sistema financiero, por lo que este nuevo sector de instituciones ofrecerían sus servicios financieros en desventaja con sus similares a nivel nacional e internacional. Asimismo, se rezagaría el crecimiento del mercado financiero en México, se limitaría la presencia de una mayor diversidad de productos, inhibiría la competencia y resultaría en mayores costos de intermediación. Derivado de lo expuesto, no emitir regulación alguna no es una alternativa viable, en razón de que existe potestad prevista en la LRITF para que la CNBV y Banxico emitan, respecto de las IFPE, disposiciones de carácter general en las materias objeto de las Disposiciones. En este sentido, es necesario emitir la regulación correspondiente a fin de evitar lagunas jurídicas, al tiempo que se promueve un marco normativo completo y actual, que brinde certeza jurídica y permita un sano desarrollo del sistema financiero mexicano. Cabe señalar que, el Congreso de Unión otorgó a la CNBV y a Banxico en la propia LRITF plazos diversos para la expedición de la normatividad secundaria, y las materias que conforman la Propuesta Regulatoria pertenecen a la normatividad referida. | |
| Alternativas#5 Otro tipo de regulación No se estimó viable emitir otro tipo de regulación que no sea la contenida en la Propuesta Regulatoria, dado que las materias sobre las que esta recae deben por mandato de la LRITF a través de disposiciones de carácter general emitidas de manera conjunta por la CNBV y Banxico. Por otra parte, una de las finalidades de la normatividad secundaria es que dichas normas sean instrumentos normativos auto contenidos que eviten distorsiones, confusión entre los destinatarios y desorden en los mercados financieros. En complemento a lo anterior, no resulta procedente la emisión de otro tipo de regulación ya que, como se ha señalado anteriormente, las Disposiciones son el instrumento jurídico mediante el cual la CNBV y Banxico cumplen con el mandato de la LRITF al ejercer su facultad para emitir la regulación aplicable para las IFPE. En tal virtud, la emisión de otro tipo de regulación daría lugar a incertidumbre jurídica y se perdería el orden normativo que prevalece con las Disposiciones que se emiten con la presente Propuesta Regulatoria y que, además, permite la existencia de un sistema financiero mexicano ordenado, seguro y eficiente en protección de los intereses de las destinatarias de la norma y de los clientes de las IFPE. |
Algunas razones por las que la Propuesta Regulatoria es considerada la mejor opción para atender la problemática señalada, son las siguientes: a. Se contaría con un instrumento normativo que contenga reglas claras y transparentes para las IFPE como destinatarias de la norma, con lo que consecuentemente se dotará de certeza a los clientes y usuarios de dichas instituciones de tecnología financiera y al sistema financiero en su conjunto lo redundará en un impacto favorable para la inclusión financiera. b. Se contará con un marco secundario que genere que el mercado de las tecnologías financieras se desarrolle con el mejor estándar, buscando una competencia sana y equilibrada, tomando en cuenta que esta última es uno de los factores clave que se pretende impulsar y preservar, en virtud de que la industria de tecnología financiera permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, así como la reducción de costos y mejora en la prestación de dichos servicios, sin dejar de lado el impulso en la inclusión financiera para los sectores de la población que decidan celebrar operaciones con estas entidades financieras a través de medios tecnológicos. c. Se dotará a las IFPE de un marco regulatorio claro y transparente en materia de seguridad de la información; políticas de confidencialidad y registro de cuentas sobre movimientos transaccionales; uso de medios electrónicos, ópticos o de cualquier otra tecnología; formas de autenticación; y sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos y continuidad operativa, lo que conlleva a la eliminación de lagunas normativas que puedan desincentivar a nuevos participantes interesados en prestar servicios financieros ofrecidos a través de medios tecnológicos. d. Se atenderán a los principios de promoción de la competencia y transparencia, al establecerse el marco jurídico que permitirá a las IFPE celebrar contratos con terceros respecto de los servicios necesarios para su operación, señalándose en las disposiciones qué tipo de servicios requerirán de la autorización de la CNBV y de Banxico para su contratación. e. Se fortalecería el nivel de cumplimiento de los requerimientos de seguridad de la información, uso de canales de instrucción y continuidad operativa, al establecerse la obligación para las IFPE de contratar los servicios de un tercero independiente, lo que redundará en la confianza de los servicios financieros que ofrecen a través de infraestructura tecnológica en beneficio del sistema financiero mexicano. f. El mercado financiero mexicano resultará más competitivo, lo que beneficiará al sistema financiero en su conjunto al emitirse la Propuesta Regulatoria, la cual está alineada a la LRITF, a las nuevas realidades operativas y necesidades del mercado financiero actual, mejores usos financieros y sanas prácticas nacionales e internacionales. Adicionalmente, se consideró conveniente normar las obligaciones de las IFPE en las materias señaladas anteriormente, a nivel reglas secundarias mediante las presentes Disposiciones, porque con la promulgación de la LRITF se atendió la necesidad de otorgarle un marco jurídico a las actividades financieras que se venían realizando, mientras que a las autoridades financieras se les estarían otorgando facultades para regular la mayoría de las obligaciones en disposiciones secundarias con el objetivo de tener un marco flexible, susceptible de modificaciones periódicas en atención a la evolución de las necesidades de la industria de las tecnologías financieras. En cuanto a la normatividad secundaria, la experiencia internacional arroja que países como España, Canadá, India, Argentina, Estado Unidos de Norte América, Reino Unido e Israel ya han desarrollado reglas similares a las contenidas en las Disposiciones, con la finalidad de contar con un marco susceptible de modificarse de cuando en cuando. * * Véase: España: Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial, https://www.boe.es/boe/dias/2015/04/28/pdfs/BOE-A-2015-4607.pdf Canadá: Multilateral Instrument 45-108 Crowdfunding, http://www.osc.gov.on.ca/en/SecuritiesLaw_mi_20160114_45-108_crowdfunding.htm India: Peer to Peer Lending Platform (Reserve Bank) Directions, 2017 , Reserve Bank of India, Argentina: Reglamentación Argentina, http://www.cnv.gob.ar/LeyesyReg/CNV/esp/RGCRGN700.htm Estados Unidos de Norteamérica, Regulation Crowdfunding, https://www.sec.gov/rules/final/2015/33-9974.pdf Reino Unido y Canadá: Review of Crowdfunding Regulation 2017, http://eurocrowd.org/wp-content/blogs.dir/sites/85/2017/10/ECN_Review_of_Crowdfunding_Regulation_2017.pdf
Apartado III.- Impacto de la regulación
| Accion#1 Crea Obligación Indefinida Escrito libre presentado en la oficialía de partes de la CNBV, y a BANXICO a través de su Módulo de Atención Electrónica (MAE). i) Descripción detallada del proceso, aprobado por el órgano de administración y de la tecnología empleada en cada parte de dicho proceso, ii) descripción de los medios necesarios para la transmisión y resguardo de la información que garanticen su integridad, correcta lectura, imposibilidad de manipulación, conservación y disponibilidad, y iii) tratándose de factores de identificación de carácter biométricos, deberá acompañarse de pruebas con las que se acredite que la tecnología utilizada resulta fiable para autenticar a sus clientes, obtenida por la propia IFPE o por una empresa especializada en tales factores de autenticación. Instituciones de fondos de pago electrónico. Negativa 3 meses (Artículos 5, fracción III y 6, primer, segundo y quinto párrafos de la Propuesta Regulatoria). El presente trámite prevé que las IFPE podrán solicitar autorización y en su caso obtener dicha autorización por parte de la CNBV y Banxico para utilizar factores de autenticación con características distintas a las determinadas en las fracciones I y II del artículo 5 de la Propuesta Regulatoria, así como factores de autenticación biométricos que refieren a características propias de los clientes. Para lo anterior, en la solicitud deberá acreditarse de manera indubitable que la tecnología utilizada resulta fiable, eficaz y no compromete la seguridad de las operaciones que realicen sus clientes. Lo anterior, bajo la premisa que el robo de datos o violación de estos implica un grave riesgo para cualquier tipo de industria, lo que cobra relevancia tratándose de servicios financieros y operaciones que se realizan a través de medios electrónicos como los que las IFPE ofrecen a sus clientes. Además de los costos tangibles, como multas y honorarios legales, los efectos sobre la reputación pueden ser particularmente devastadores. Según American Banker, el 82 % de los clientes abandonaría una institución financiera si tuvieran una brecha de seguridad y el 74 % seleccionaría una entidad financiera basada en la reputación de la organización. La confianza es clave en el sector financiero. Esta necesidad de confianza y seguridad es un desafío siempre que se adoptan nuevas tecnologías. Aunque estos pueden traer importantes beneficios, también pueden crear vulnerabilidades o nuevos puntos de acceso para las partes malintencionadas que buscan información de clientes u otra información financiera delicada. No obstante, también se busca fomentar la inclusión financiera, acercando los servicios financieros a personas y sectores que tradicionalmente no han sido parte del sistema financiero, promoviendo una mayor educación financiera y asesoría sobre estas nuevas alternativas. Como consecuencia, se busca generar innovación en la prestación de servicios financieros, a través de otorgar herramientas a las entidades financieras para propiciar un aumento en el uso de los servicios mencionados, al tiempo de preservar la estabilidad financiera mediante la implementación de un marco regulatorio general con reglas prudenciales proporcionales a los riesgos que representan en distintas materias, como son aquellos financieros, operacionales, de mercado y tecnológicos (ciberseguridad) que, de igual forma, cuente con un rango de flexibilidad razonable que no implique una barrera al acceso o al a prestación de servicios financieros. Por dicha razón es que aquellas IFPE que tengan intención de utilizar un factor de autenticación con características distintas a las determinadas en la Propuesta Regulatoria tendrán la posibilidad de solicitar autorización de la CNBV y de Banxico con la intención de acreditar que los medios que pretenden utilizar para autenticar a sus clientes no vulneran o ponen riesgo de ninguna manera la seguridad en las operaciones de sus clientes y que, al contrario, implican un beneficio para el sector financiero. Solicitud de autorización de factores de autenticación. No aplica por tratarse de un trámite nuevo. | |
| Accion#2 Crea Obligación Indefinidad Escrito libre que se presente en la oficialía de partes de la CNBV, y en el Banxico a través del MAE. El trámite tienen lugar en caso de que las IFPE pretendan establecer parámetros distintos a los establecidos en las fracciones I a III del artículo 11. Instituciones de fondos de pago electrónico Negativa 3 meses. (Artículo 11, segundo párrafo de la Propuesta Regulatoria). Este tiene por objeto la protección de los clientes de las IFPE, ya que a través de los canales de instrucción se realizan todas las operaciones, por lo que se pretende que cualquier mecanismo distinto que tenga por objeto que la sesión de un cliente no pueda ser utilizada por terceros sea previamente autorizado por la CNBV y Banxico, con lo que se protegerán los intereses de los clientes y se dotará de certeza jurídica a las actividades y operaciones que brindan las IFPE, lo que resultará en beneficio del sector de las instituciones de tecnología financiera y del sistema financiero en su conjunto. Solicitud de autorización para el establecimiento de parámetros distintos en inicio de sesiones. No aplica por tratarse de un trámite nuevo. | |
| Accion#3 Crea Obligación Indefinida Escrito libre que se presente en la oficialía de partes de la CNBV, y a Banxico a través del MAE. El trámite tienen lugar en caso de que las IFPE pretendan implementar prácticas o estándares distintos para el control de acceso a la infraestructura tecnológica distintos a los que se establecen en el artículo 24. Instituciones de fondos de pago electrónico. Negativa 3 meses (Artículo 24, segundo párrafo de la Propuesta Regulatoria) El trámite previsto tiene por objeto establecer la obligación para las IFPE de solicitar autorización a la CNBV y Banxico, de forma previa a la implementación de prácticas o estándares distintos a los que se señalan en las fracciones I a III del citado artículo 24, para el acceso a su infraestructura tecnológica, con el fin de salvaguardar que dichos controles de acceso sean robustos y seguros, ya que a través de dicha infraestructura se soportan las actividades y operaciones que las IFPE celebran con sus clientes, con lo que se pretende la integridad, seguridad y mitigar el riesgo de vulnerabilidades. De implementarse lo anterior, se dotará de certidumbre jurídica a los clientes y al sistema financiero mexicano en su conjunto. Solicitud de autorización para el establecimiento de mecanismos y procedimientos de control de acceso a la infraestructura tecnológica. No aplica por tratarse de un trámite nuevo. | |
| Accion#4 Crea Obligación Indefinida Escrito libre que se presente en la oficialía de partes de la CNBV, y a Banxico a través del MAE. No aplica Instituciones de fondos de pago electrónico. Negativa 3 meses (Artículo 26, segundo párrafo de la Propuesta Regulatoria). El trámite previsto en el presente artículo, tiene por objeto establecer la obligación para las IFPE de solicitar autorización a la CNBV y Banxico, de forma previa a la implementación de protocolos de comunicación con estándares de seguridad informática distintos a los señalados en el primer párrafo del artículo en cita, con el objeto de garantizar que los canales de comunicación mantengan la confidencialidad de la información, sean robustos y no sean vulnerables a ataques informáticos o accesos no autorizados, por lo que el beneficio consiste en el análisis que realicen tanto la CNBV como Banxico de esos mecanismos con lo que se pretende la integridad, seguridad y mitigar el riesgo de vulnerabilidades a dicha infraestructura, con lo que se dotará de certidumbre jurídica a los clientes de estas instituciones de tecnología financiera y al sistema financiero mexicano en su conjunto. Solicitud de autorización para el establecimiento de protocolos de comunicación de los canales de instrucción con estándares diversos. No aplica por tratarse de un trámite nuevo. | |
| Accion#5 Crea Obligación indefinidad Escrito libre o archivo electrónico presentado ante la oficialía de partes de la CNBV, y a BANXICO a través del MAE. Las IFPE, al inicio de sus operaciones y al menos cada dos años, deberán presentar un reporte a la CNBV y a Banxico, que debe encontrarse firmado digitalmente, por el director general o en su caso por el administrador único, cifrado de conformidad con las especificaciones que se señalan en los numerales I a III. El reporte debe indicar el nivel de riesgo informático de la infraestructura tecnológica de la IFPE, así como la conformación de un plan de trabajo documentado que tenga por objeto atender las observaciones de criticidad alta y muy alta encontradas en la evaluación a la seguridad informática. Instituciones de fondos de pago electrónico. No aplica No aplica (Artículo 33, segunda parte y último párrafo de la Propuesta Regulatoria). El trámite previsto tiene por objeto que las IFPE, al inicio de sus operaciones y al menos cada dos años, realicen un análisis que comprenda la identificación de vulnerabilidades y amenazas a la seguridad de su infraestructura tecnológica, para con ello, determinar los controles adecuados para aceptar, disminuir o evitar la ocurrencia de dichas vulnerabilidades que podrían ocasionar daños o pérdidas que afecten a las actividades que estas instituciones de tecnología financiera realizan, así como a los intereses patrimoniales de sus clientes en la realización de las operaciones y servicios que realizan a través de los canales de instrucción de las IFPE. Asimismo, la Propuesta Regulatoria tiene por objeto que, una vez detectados los riesgos a los que se encuentra expuesta la seguridad informática de sus infraestructuras tecnológicas, las IFPE presenten a la CNBV y a Banxico un plan de trabajo con acciones tendientes a la atención de dichas vulnerabilidades para con ello preservar la confidencialidad, integridad y seguridad de la información, en aras del buen funcionamiento del sector de las instituciones de tecnología financiera y del sector financiero en su conjunto. Reporte sobre la seguridad informática de la infraestructura tecnológica y presentación de plan de trabajo. No aplica por tratarse de un trámite nuevo. | |
| Accion#6 Crea Obligación Indefinida Escrito libre presentado a Banxico a través del MAE, y a la CNBV a través de la oficialía de partes. : Presentarse dentro de los 20 días hábiles a partir de la fecha en que hayan finalizado las pruebas de penetración. El Informe que deberá ser firmado digitalmente por el director general o administrador único de la IFPE y encontrarse cifrado conforme a los requerimientos que se señalan en las fracciones del artículo 33 de la Propuesta Regulatoria. Para el caso de que se hayan derivado observaciones de alta o muy alta criticidad, las IFPE deberán presentar un “Plan de remediación” con los documentos en los se señale la planeación de las acciones para rectificar errores en componentes y sistemas que hayan provocado vulnerabilidades de seguridad de la información; este plan deberá ser firmado digitalmente por el director general o, en su caso, por el administrador único con las especificaciones de la firma indicadas. Instituciones de fondos de pago electrónico No aplica No aplica (Artículo 34, párrafos segundo y tercero de la Propuesta Regulatoria). El trámite tiene por objeto que las IFPE informen a la CNBV y Banxico el resultado de las pruebas de penetración que periódicamente realicen a los diferentes sistemas y aplicativos que conforman su infraestructura tecnológica, y en caso de que de dichas pruebas de penetración se deriven observaciones de alta o muy alta criticidad que vulneren la seguridad de su infraestructura tecnológica, establecer la obligación para las IFPE de presentar a la CNBV y a Banxico un plan de remediación documentado que contenga las acciones necesarias para la corrección de dichas vulnerabilidades, con lo que se busca primordialmente salvaguardar las actividades y operaciones de las IFPE, el patrimonio e información de sus clientes, preservar la estabilidad financiera y operativa de este nuevo sector de servicios financieros a través de medios innovadores y tecnológicos, lo que redundará en confianza y certeza jurídica para el sector de las instituciones de tecnología financiera y del sistema financiero mexicano en su conjunto. Informe del resultado de pruebas de penetración a la infraestructura tecnológica y Plan de remediación sobre vulnerabilidades. No aplica por tratarse de un trámite nuevo. | |
| Accion#7 Crea Obligación Indefinida Escrito libre presentado a Banxico mediante correo electrónico a la cuenta ifpe@banxico.org.mx y a la CNBV a través de la cuenta de correo electrónico Ciberseguridad-CNBV@cnbv.gob,mx, o por otros medios que Banxico y la CNBV señalen. De forma inmediata a que suceda el evento o incidente de seguridad de la información, las IFPE deberán enviar un reportes sobre eventos de seguridad de información a la CNBV y BANXICO cuando se verifiquen en: i) los componentes de la infraestructura tecnológica; ii) los canales de instrucción, o iii) la infraestructura tecnológica de cualquier tercero que afecte la operación o la infraestructura tecnológica de las IFPE. Solo deberá informarse de aquellos eventos que, de acuerdo con las políticas y procedimientos establecidos por la propia IFPE, sean calificados como relevantes por tener potencial afectación en la propia IFPE, para sus clientes, contrapartes, proveedores, otras entidades del sistema financiero, además de los que se relacionen con información personal o sensible, imágenes de identificaciones oficiales e información de los factores de autenticación de carácter biométrico de los clientes. Este reporte únicamente deberá contener la fecha y hora de inicio, así como la descripción del evento de que se trate. Respecto de los reportes de incidentes de seguridad de la información, las IFPE deberán informar a la CNBV y Banxico, al menos, la fecha y hora en que se verifique, la indicación si continua o ha concluido, su duración, una descripción del evento o incidente, así como la evaluación inicial de su impacto o gravedad. Posteriormente, dentro de los 5 días hábiles siguientes a la identificación del incidente de seguridad de la información, la IFPE deberán enviar a la CNBV y a Banxico, a través de las cuentas de correo electrónico señaladas, la información a que se hace referencia en los Anexos 3 y 4 de la Propuesta Regulatoria. Adicionalmente, en un plazo no mayor a 15 días hábiles posteriores a que concluyó el incidente de seguridad de la información, la IFPE deberá enviar a la CNBV y a Banxico, un plan de trabajo (Plan de remediación) en el que se describan las acciones que las IFPE implementarán para eliminar o mitigar las vulnerabilidades que lo propiciaron, el personal responsable de su diseño, ejecución y seguimiento, así como los plazos para su ejecución, los recursos técnicos, materiales y humanos que se emplearán. Instituciones de fondos de pago electrónico. No aplica No aplica (Artículos 42, fracciones I, primer y segundo párrafos y fracción II, segunda parte, así como Anexos 3 y 4 de la Propuesta Regulatoria). Con el fin de asegurar que la CNBV y Banxico tengan conocimiento y puedan ejercer su facultad de vigilancia, respecto de las IFPE, la Propuesta Regulatoria establece la obligación para estas instituciones de tecnología financiera de informar la ocurrencia de los eventos de seguridad de la información calificados como relevantes, así como los incidentes de seguridad de la información. Asimismo, con el fin de preservar la viabilidad, estabilidad y sano desarrollo de este nuevo sector de entidades financieras que prestan servicios financieros a través de infraestructura tecnológica, se considera relevante que las IFPE envíen información detallada de los incidentes de seguridad de la información de conformidad a los rubros y especificaciones que se contienen en los Anexos 3 y 4 de la Propuesta Regulatoria, así como su Plan de remediación. Con ello, además del conocimiento oportuno que tendrá la CNBV y Banxico sobre estos eventos, se persigue la seguridad jurídica para los clientes que realizan operaciones, así como evitar que las vulnerabilidades tecnológicas a que se encuentran expuestas no sean de verificación recurrente. Reporte de Eventos e Incidentes de Seguridad de la Información, Informe detallado de los incidentes en materia de seguridad de la información y Plan de remediación. No aplica por tratarse de un trámite nuevo. | |
| Accion#8 Crea Obligación Indefinida Escrito libre presentado a Banxico mediante correo electrónico a la cuenta ifpe@banxico.org.mx y a la CNBV a través de las cuentas de correo electrónico contingencias@cnbv.gob,mx y supervisionfintech@cnbv.gob.mx, o por otros medios que Banxico y la CNBV dispongan. Dentro de los 60 minutos siguientes a que se verifique la contingencia operativa, las IFPE deberán hacer del conocimiento de la CNBV y de Banxico las contingencias operativas que se presenten en cualquiera de los canales de atención al público o al interior de la IFPE, debiendo reportar las interrupciones que tengan una duración de al menos 30 minutos, incluyéndose la fecha, lugar y hora del inicio de la contingencia operativa, en su caso si ha concluido y su duración, los procesos y canales afectados, descripción del evento y la evaluación inicial del impacto o gravedad de la contingencia. Asimismo, dentro de los 5 días hábiles siguientes, la IFPE deberá enviar, a través de los mismos medios, los resultados de la investigación de las causas que generaron la contingencia en términos del Anexo 5 de la Propuesta Regulatoria. Instituciones de fondos de pago electrónico. No aplica No aplica (Artículo 43, párrafos primero, segundo y tercero, así como los Anexos 2 y 5 de la Propuesta Regulatoria). El aviso que debe presentarse se lleva a cabo a fin de que la CNBV y Banxico tengan conocimiento de la verificación de situaciones o eventos inesperados que ocasionen la interrupción de los procesos y operaciones de las IFPE, así como de las acciones efectuadas para su restablecimiento, su duración y en su caso del impacto o gravedad ocasionada ante su ocurrencia, lo que permitirá el correcto funcionamiento y estabilidad del sector. Aviso de contingencias operativas y resultados de la investigación de las causas que generaron el evento. No aplica por tratarse de un trámite nuevo. | |
| Accion#9 Crea Obligación Indefinida Escrito libre presentado ante la oficialía de partes de la CNBV, y a Banxico a través del MAE. Cuando se trate de la contratación de servicios de terceros que cumplan las siguientes características: (i) servicios impliquen la transmisión, almacenamiento, procesamiento, resguardo o custodia de información personal o sensible, imágenes de documentos de identificaciones expedidas por autoridades oficiales o se trate de información biométrica de sus clientes; (ii) realice procesos en el extranjero relacionados con la contabilidad o tesorería, y (iii) cuando dicho tercero funja como proveedor primario de servicios cuya interrupción imposibilite a la IFPE la emisión, administración, redención o transmisión de fondos de pago electrónico. Instituciones de fondos de pago electrónico Negativa 3 meses (Artículos 44, 49 y Anexo 6 de la Propuesta Regulatoria). El trámite previsto en el presente artículo, tiene por objeto que la CNBV y Banxico tengan conocimiento y autoricen la celebración de contratos de prestación de servicios con terceros que pretendan llevar a cabo las IFPE, por tratarse de servicios que conllevan la trasmisión, custodia y almacenamiento de información de los clientes, y respecto de aquellos que puedan tener una injerencia importante en las actividades y operaciones que realizan las IFPE, con lo que se tendrá certeza de quienes son las personas o sociedades que llevan a cabo dichos servicios, dotando de certidumbre a las IFPE. Solicitud de autorización para la contratación de servicios con terceros. No aplica por tratarse de un trámite nuevo | |
| Accion#10 Crea Obligación Indefinida Escrito libre presentado a la CNBV a través de la oficialía de partes. y a Banxico a través del MAE. El aviso se presenta con 20 días de antelación a la celebración de contratos con terceros cuando dichos terceros: (i) funjan como proveedores secundarios o de respaldo de servicios cuya interrupción parcial o permanente imposibiliten a las IFPE a realizar sus actividades y operaciones previstas en las fracciones II a V del artículo 22 de la LRITF, o (ii) se trate de entidades financieras sujetas a normatividad similar a la contenida en la Propuesta Regulatoria. Asimismo, la solicitud de autorización debe estar acompañada de los requisitos enunciados en las fracciones I a VIII del artículo 49 de la Propuesta Regulatoria. Instituciones de fondos de pago electrónico Afirmativa 25 días hábiles (Artículos 45 y 49 de la Propuesta Regulatoria) Este trámite tiene por objeto que la CNBV y Banxico cuenten con evidencia de los procesos de los servicios a contratar por las IFPE, el contenido de los contratos en los que se señalan los derechos y obligaciones de la IFPE y del tercero, información de la infraestructura tecnológica que incluya las especificaciones técnicas, así como los mecanismos de continuidad del servicio contratado, los controles del tercero en materia de confidencialidad, integridad y seguridad de la información, así como de protección de datos personales, lo que resulta relevante debido a que las actividades y operaciones que realizan las IFPE con sus clientes se realizan a través de infraestructura tecnológica. Aviso previo a la celebración de contratos de prestación de servicios. No aplica por tratarse de un trámite nuevo. | |
| Accion#11 Crea Obligación Indefinida Escrito libre presentado a la CNBV a través de la oficialía de partes. Las IFPE deberán presentar solicitud de autorización con una anticipación de por lo menos 20 días hábiles a la fecha en que se pretenda realizar la contratación. Se presenta cuando las IFPE pretendan celebrar contratos de comisión mercantil para realizar a través de terceros operaciones distintas a las señaladas en las fracciones I a VI del artículo 46. Negativa 3 meses Artículos 46, segundo párrafo última parte, 47 párrafos primero y segundo, así como el Anexo 7 de la Propuesta Regulatoria) Este trámite tiene por objeto que la CNBV, en su carácter de autoridad supervisora de las IFPE y en protección de los intereses del público autorice que, a través de terceros, las IFPE realicen operaciones distintas a las previstas en las fracciones I a VI del artículo 46 de la Propuesta Regulatoria. Aviso previo a la celebración de contratos de comisión mercantil. No aplica por tratarse de un trámite nuevo. | |
| Accion#12 Crea Obligación Indefinida Escrito libre presentado ante la oficialía de partes de la CNBV, y a Banxico a través del MAE. Informar sobre: (i) evaluación del nivel de cumplimiento de los requerimientos de seguridad de la información, y (ii) uso de canales de instrucción y de continuidad operativa realizado por un tercero independiente contratado para ese fin. Deberá remitirse en un plazo de 5 días hábiles, contados a partir de la presentación al de dicho informe al órgano de administración de la IFPE, debiendo encontrarse firmado digitalmente por el director general o, en su caso, el administrador único, y cifrado conforme a lo dispuesto en el artículo 33 de la Propuesta Regulatoria. Instituciones de fondos de pago electrónico No aplica No aplica (Artículo 57, párrafos cuarto, quinto y sexto de la Propuesta Regulatoria) Es necesario que un experto independiente a la IFPE evalúe cada dos años el cumplimiento de los requerimientos tecnológicos de seguridad de la información, a fin de que la institución garantice la seguridad y confidencialidad de la información transmitida, almacenada o procesada a través de medios electrónicos (canales de instrucción), así como el adecuado estado de la infraestructura tecnológica. Con ello, se asegura la integridad de dicha información, toda vez que el desarrollo de nuevas tecnologías y el avance de las existentes, generan nuevos riesgos y desafíos. De esta forma, la CNBV y Banxico tendrán conocimiento del grado de cumplimiento de los requerimientos por parte de las IFPE y, por lo tanto, del correcto funcionamiento de la entidad financiera. Informe del tercero independiente respecto de la evaluación de cumplimiento de los requerimientos de seguridad de la información. No aplica por tratarse de un trámite nuevo. |
| Obligaciones#1 Otras Artículo 1, así como Primero, Segundo y Tercero Transitorios de la Propuesta Regulatoria. Para facilitar la lectura de la Propuesta Regulatoria y hacer más comprensible su contenido se establecieron definiciones. Por su parte, el artículo Primero Transitorio precisa la entrada en vigor de las Propuesta Regulatoria, el artículo Segundo Transitorio otorga el beneficio de un plazo de 12 meses para que las IFPE cumplan la obligación del cifrado de la información personal y la información sensible recibida, generada, almacenada, procesada, o transmitida en la infraestructura tecnológica, las imágenes de documentos de identificación expedidos por autoridades oficiales e información biométrica de los clientes, así como cualquier otra que determinen de acuerdo con sus políticas, y el artículo Tercero Transitorio, señala el plazo que no será mayor a 6 meses a partir de la entrada en vigor de la Propuesta Regulatoria, al que deberán sujetarse las personas a que alude el artículo Octavo Transitorio de la LRITF, para realizar las pruebas de seguridad informática a que alude el artículo 21, la valuación de la seguridad informática de sus infraestructuras tecnológicas referida en el artículo 33 de la Propuesta Regulatoria, y generar un plan de remediación documentado para la atención de las correcciones realizadas conforme a dicho plan y presentarlo a la CNBV y Banxico. | |
| Obligaciones#2 Establecen obligaciones Artículos 2, 3, y 4 de la Propuesta Regulatoria. Estas acciones regulatorias tienen por objeto establecer, de manera clara y precisa, los requisitos del contrato que celebren las IFPE con sus clientes. Al efecto, en estos instrumentos deben incluirse estipulaciones tales como las operaciones y servicios que podrán realizar a través de los canales de instrucción, mecanismos y procedimientos para la autentificación de los clientes, el plazo de notificación de las operaciones realizadas, así como de la contratación de servicios o modificación a los términos y condiciones de uso de los servicios previamente contratados, restricciones operativas aplicables a los canales de instrucción, y los riesgos inherentes a la utilización de dichos canales. Asimismo, establecer la obligación para las IFPE de salvaguardar que las notificaciones que realicen a sus clientes no contenga información personal o sensible. Lo anterior, tiene como finalidad que las IFPE transparenten en todo momento que las operaciones que se realicen mediante canales de instrucción, cuentan con el soporte de procedimientos y mecanismos previamente desarrollados por las propias IFPE, para que estas se desenvuelvan en un ambiente seguro que fomente el debido desarrollo del sistema financiero en su conjunto. Todo lo anterior, con el propósito de proteger al consumidor, toda vez que el desarrollo de nuevas tecnologías y el avance de las existentes, generan nuevos riesgos y desafíos, por lo cual resulta conveniente establecer el marco jurídico específico que deberán observar las IFPE, a fin de fortalecer la seguridad y confidencialidad de la información transmitida, almacenada o procesada a través de medios electrónicos, contando con mecanismos que controlen la integridad de dicha información. | |
| Obligaciones#3 Establecen obligaciones Artículos: 5; 6, párrafos tercero y cuarto; 7; 8; 9; 10; 11, primer párrafo; 12; 13 y 14 de la Propuesta Regulatoria. Las acciones regulatorias contenidas en los artículos que se citan, tienen por objeto: i) establecer los requisitos que deberán observar las IFPE para determinar los factores de autenticación en los canales de instrucción a fin de garantizar mecanismos seguros que permitan asociar medios o dispositivos electrónicos de un cliente para el acceso a los canales de instrucción, así como para la realización de operaciones; ii) la posibilidad de que las IFPE puedan implementar como factores de autenticación características físicas de sus clientes conocidos como biométricos, estableciéndose la obligación para las IFPE de recabar evidencia de la eficacia de dicho método para la identificación de sus clientes atendiendo a la evaluación que se realice bajo pruebas controladas por la propia IFPE o bien por una empresa especializada en la implementación de dichos factores de conformidad con estándares internacionales; iii) que las IFPE cuenten con políticas y procedimientos que aseguren que la generación, almacenamiento, desbloqueo y restablecimiento de factores de autenticación se realice únicamente por sus clientes; iv) señalar mecanismos y procedimientos para que los clientes al acceder a los canales de instrucción de las IFPE puedan verificar antes de realizar los procedimientos de verificación de identidad que se trata efectivamente de la propia IFPE de la cual es cliente; v) que las IFPE prevean los mecanismos necesarios para que una vez autenticados los clientes en los canales de instrucción, la sesión de estos no pueda ser utilizada por otras personas; vi) determinar el diseño e implementación a cargo de las IFPE de procedimientos que establezcan protocolos criptográficamente seguros que impidan que los factores de autenticación de los clientes al ser almacenados por la propia IFPE puedan ser susceptibles de uso o se comprometa la información personal o sensible de los clientes, y vii) establecer mecanismos que permitan a los clientes de las IFPE desactivar temporalmente la realización de operaciones o la solicitud de servicios en caso de así requerirlo sus clientes. Atento a ello, se considera que la implementación de las acciones regulatorias previstas en los artículos que se citan favorecerán el sano desarrollo de las IFPE y del sistema financiero en su conjunto. | |
| Obligaciones#4 Establecen obligaciones Artículos: 15; 16; 17; 18;19; 20; 21; 22; 23; 24, primer párrafo; 25; 26, primer párrafo; 27; 28 y 29 de la Propuesta Regulatoria. Las acciones regulatorias contenidas en los artículos que se mencionan tienen por objeto que las IFPE cuenten con herramientas tecnológicas que les permitan hacer frente a vulnerabilidades de seguridad informática, que puedan poner en peligro la información de sus clientes que se encuentre almacenada en los componentes de su infraestructura tecnológica. Atento a ello, la Propuesta Regulatoria establece que: (i) las IFPE deberán cifrar la información personal y sensible, recibida, generada, almacenada, procesada o transmitida por sus clientes en su infraestructura tecnológica; (ii) la obligación de las IFPE de utilizar herramientas informáticas que permitan detectar virus informáticos y códigos maliciosos en su infraestructura tecnológica, así como procedimientos para su actualización periódica; (iii) generar un Plan de remediación documentado para atender las vulnerabilidades detectadas; (iv) la obligación para las IFPE de contar con procedimientos y mecanismos de control de acceso a dicha infraestructura tecnológica que resulten robustos y seguros; (v) que los procedimientos se encuentren autorizados por el Oficial en Jefe de Seguridad de la Información de la IFPE (CISO: Chief Information Security Officer por sus siglas en inglés), y (vi) determinar los procedimientos y mecanismos de controles de acceso, de gestión de usuarios y que permitan el seguimiento y monitoreo a los sistemas de almacenamiento de la información de los clientes, incluyendo auditorías informáticas que permitan entre otros aspectos, la revisión individual a la información de los clientes, intentos de acciones inválidos, cambios de identificación y autenticación, etc. Asimismo, y considerando que las actividades y operaciones de las IFPE descansan en el uso de medios electrónicos, se considera conveniente establecer en la regulación secundaria aplicable a las IFPE, que cuenten con personal calificado y apto para brindar soporte técnico y operacional, lo que les permitirá hacer frente al presentarse alguna eventualidad y evitará poner en riesgo la estabilidad de su patrimonio y el de sus clientes, obligación que inclusive persigue como fin la revisión previa de los perfiles del personal que pretenda contratar la IFPE, así como los procesos de evaluación de riesgos que se realicen al menos una vez al año. Aunado a lo anterior, se considera conveniente prever en la Propuesta Regulatoria que las IFPE implementen políticas y mecanismos para que los canales de instrucción utilicen protocolos de comunicación que garanticen la confidencialidad de la información punto a punto, de conformidad con las mejores prácticas internacionales de seguridad informática, encontrándose dichos protocolos vigentes, no contar con vulnerabilidades y que la longitud de sus claves de cifrado sean robustas. En línea con lo anterior, la Propuesta Regulatoria contempla los requerimientos que deberán satisfacer las propias IFPE o las empresas externas especializadas contratadas por ellas para la implementación y el desarrollo de sus sistemas informáticos, todo ello en aras de la seguridad de la información. | |
| Obligaciones#5 Establecen obligaciones Artículos aplicables: 30; 31; 32; 33, primera parte, y 34, primero, cuarto y quinto párrafos de la Propuesta Regulatoria. La acción regulatoria prevista en los artículos que se citan, comprenden las obligaciones para las IFPE de: i) contar con una Política Estratégica de Continuidad de Negocio y de Seguridad de la Información, aprobada por su órgano de administración; ii) contar con un Plan Director de Seguridad aprobado por el director general o en su caso por el administrador único que deberá estar alineado con la estrategia de negocio de la propia IFPE y alineado con lo establecido en la Política Estratégica de Continuidad de Negocio y de Seguridad de la Información, el que deberá tener como objetivo reducir la exposición a los riesgos de tipo tecnológico y que se verifiquen incidentes de seguridad de la información, y (iii) que las IFPE, implementen mecanismos y procedimientos para la atención de incidentes de seguridad de la información en su infraestructura tecnológica, así como evaluar o auditar previo al inicio de sus operaciones y al menos cada dos años la seguridad de la información de su infraestructura tecnológica, realizar pruebas de penetración al menos cada dos años en los diferentes sistemas y aplicativos de la infraestructura tecnológica a través de un tercero persona moral con capacidad técnica y certificaciones en la materia para detectar vulnerabilidades, errores o funcionalidades no autorizadas o códigos que pongan en peligro la información y patrimonio de las IFPE y de sus clientes, estableciéndose que deberán documentarse en manuales las metodologías para clasificar la criticidad y el riesgo de los hallazgos de las pruebas de seguridad de la información, incluyéndose las de penetración y vulnerabilidades. | |
| Obligaciones#6 Establecen obligaciones Artículos aplicables: 35; 36; 41; 42, primer párrafo, fracción I, tercer párrafo, fracción II, primera parte, y fracción III; 43, cuarto y quinto párrafo, así como los Anexos 1, 3 y 4 de la Propuesta Regulatoria. Que las IFPE cuenten con una persona que se desempeñe como Oficial en Jefe de Seguridad de la Información (CISO: Chief Information Security Officer, por sus siglas en inglés), designado por el director general o, en su caso, por el administrador único de la propia IFPE. El CISO no deberá tener conflictos de interés respecto de la persona que ejerza las funciones de auditoría y tecnologías de información de la IFPE, y tendrá entre sus funciones principales: i) participar en el diseño, implementación y continuo cumplimiento de las políticas y procedimientos de seguridad de la información materia de la presente Propuesta Regulatoria; ii) elaborar el Plan Director de Seguridad; (iii) verificar al menos anualmente los perfiles de acceso a la infraestructura tecnológica de acuerdo con su segregación funcional; (iv) aprobar y verificar el cumplimiento de las medidas que se hayan adoptado para subsanar deficiencias detectadas en los perfiles de acceso a la infraestructura tecnológica así como en caso de que se hayan presentado incidentes de seguridad de la información; v) gestionar las alertas de seguridad de la información comunicadas por la CNBV u otros medios, y vi) responder de los requerimientos formulados por las autoridades y al interior de la propia IFPE en materia de seguridad de la información. Asimismo, la propuesta contempla que tratándose de IFPE que pertenezcan a entidades financieras sujetas a la supervisión de la CNBV, o bien a formen parte de consorcios o grupos empresariales que cuenten con una entidad financiera supervisada por la CNBV, podrá desempeñarse como CISO, la persona que cumpla dichas funciones en la entidad financiera supervisada, cubriendo los requisitos señalados en el artículo 35 de la Propuesta Regulatoria. Asimismo, se considera conveniente que la Propuesta Regulatoria incluya la obligación para las IFPE de llevar un registro de los eventos de seguridad de la información calificados como relevantes, de los incidentes de seguridad de la información, contingencias operativas, así como de las fallas y vulnerabilidades detectadas en su infraestructura tecnológica, el respaldo de dicha información a efecto de que tanto la CNBV como Banxico puedan verificar las acciones correctivas implementadas con lo que se protegerá que la información de sus clientes sea objeto de pérdida, extracción, extravío o uso indebido. La acción regulatoria prevista en los artículos que se citan contempla las obligaciones del director general o del administrador único al presentarse eventos o incidentes en materia de seguridad de la información, consistentes en el aviso a la CNBV y a Banxico de la verificación de estos eventos o incidentes, realizar una investigación inmediata de las causas que los generaron y el establecimiento de un plan de trabajo para eliminar o mitigar las vulnerabilidades detectadas, así como la notificación a los clientes cuando la verificación de incidentes de seguridad conlleve la pérdida, extracción, eliminación o alteración de información personal o sensible en custodia de las IFPE, a fin de prevenirlos de los riesgos asociados del mal uso de la información, las medidas que se implementarán y en su caso la reposición de los factores de autenticación a los canales de instrucción que les permiten realizar operaciones. Adicionalmente, se prevé la obligación del director general o administrador único de la IFPE, y el plazo para hacer del conocimiento a los clientes de las IFPE, cuando se presenten contingencias operativas por las que haya intermitencia en los canales de instrucción o cuando exista imposibilidad de realizar operaciones a través de dichos medios, manteniendo evidencia de ello, debiendo poner a disposición de los clientes información relativa a la contingencia, fecha y hora de su verificación y en su caso precisar las afectaciones a cada cliente o usuario, en un plazo máximo de 24 horas de la materialización de la contingencia operativa, todo lo anterior, permitirá transparentar a sus clientes y usuarios la operación de estas tecnologías y dotar de certidumbre jurídica las operaciones que se realicen a través de las IFPE. | |
| Obligaciones#7 Establecen obligaciones Artículos aplicables: 37, 38, 39 y 40, así como los Anexos 2 y 5 de la Propuesta Regulatoria. La acción regulatoria contenida en los artículos de referencia se enfoca a que las IFPE, al realizar sus actividades y operaciones a través de medios electrónicos, cuenten con un Plan de Continuidad de Negocio (PCN), aprobado por el director general o, en su caso, por el administrador único, que cuente con los mecanismos necesarios para la administración de contingencias operativas en los que se incluya su identificación, evaluación, monitoreo y mitigación. En línea con lo anterior, las IFPE deberán tener metodologías que les permitan estimar los impactos cualitativos y cuantitativos de las posibles contingencias operativas que determine la persona que sea designada por el órgano de administración de la IFPE como responsable de la administración de contingencias operativas, previéndose que el director general podrá realizar modificaciones al Plan de Continuidad de Negocio, a efecto de que se encuentre alineado a la Política Estratégica de Continuidad de Negocio y Seguridad de la Información. Se destaca que la acción regulatoria en materia de Continuidad Operativa contempla, que la persona que tenga el carácter de responsable de las contingencias operativas deberá tener conocimientos especializados, y para cumplir con sus funciones podrá auxiliarse de otras áreas de la IFPE o de terceros especialistas en la materia, teniendo como funciones principales las siguientes: i) elaborar, revisar y, en su caso, actualizar el PCN; ii) evaluar el alcance y efectividad del PCN, por lo menos, una vez al año, informando los resultados de dicha evaluación al órgano de administración, así como a las áreas responsables de los procesos operativos críticos, informando los ajustes que sean necesarios para su actualización, fortalecimiento y cumplimiento, previendo la acción regulatoria que, en caso de que la IFPE cuente con un comité de auditoría, dicha evaluación será realizado por ese comité, y iii) definir las metodologías para la administración de contingencias operativas, y presentar al órgano de administración las metodologías de estimación de los impactos cualitativos y cuantitativos de dichas contingencias. Con lo anterior, se busca que las IFPE cuenten con un PCN que les permita, no solamente hacer frente a eventos o situaciones que interrumpan sus actividades y operaciones, sino que también cuenten con metodologías de prevención y mitigación de los riesgos asociados a su verificación, en protección de los intereses de sus clientes, lo que impactará favorablemente en su sano y equilibrado desarrollo, del sector de las instituciones de tecnología financiera y del sistema financiero mexicano en su conjunto. | |
| Obligaciones#8 Establecen obligaciones Artículos aplicables: 46, primer y segundo párrafos primera parte, así como tercer y cuarto párrafos; 48; 50; 51; 52; 53; 54 y 55, así como Anexos 6, 7 y 8. La acción regulatoria tiene por objeto prever la posibilidad para que las IFPE celebren contratos de comisión mercantil con terceros que actúen frente al público en general y a nombre y por cuenta de las IFPE, tendientes a realizar las operaciones mencionadas en el artículo 46, fracciones I a VI de la Propuesta Regulatoria. Con ello, se busca más penetración en las operaciones que realizan las IFPE, lo que se traduce en una mayor cobertura e inclusión financiera, cuidando en todo momento que en los contratos de comisión mercantil se salvaguarde la confidencialidad de la información de las operaciones celebradas con sus clientes. Asimismo, como propósito de esta acción regulatoria se encuentra establecer que las operaciones que las IFPE realicen a través de comisionistas se ajusten a ciertos límites o umbrales equivalentes en moneda nacional, ya sea en caso de retiros de efectivo efectuados por el propio cliente de la cuenta respectiva o tratándose de recepción de efectivo para abonos en cuentas propias o de terceros, lo que tiene por objeto por un lado llevar un mayor control y registro de los flujos de efectivo que manejan los terceros y, por otro, evitar que las IFPE sean utilizadas como vehículos para la realización de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo. De igual forma, la presente acción regulatoria tiene por objeto definir los requerimientos para el caso de que las IFPE contraten con algún tercero, servicios de Cómputo en la Nube -para realizar procesos cuya interrupción parcial o permanente, imposibiliten a la IFPE para la emisión, administración, redención o transmisión de fondos de pago electrónico-. Dicho tercero deberá tener la capacidad de cómputo y procesamiento necesaria para realizar los actos citados por si o a través de un tercero distinto, bajo las modalidades previstas en el artículo 50 de la Propuesta Regulatoria. Al efecto, se señalan las obligaciones que las IFPE deberán observar respecto de los terceros con los que celebren contratos de comisión mercantil, así como con aquellos relacionados con procesos operativos, de administración de bases de datos y sistemas informáticos, entre las que se encuentran las de realizar auditorías anuales sobre los servicios contratados, mantener en sus oficinas evidencia de las evaluaciones, resultados de las mismas, y en su caso de los planes de trabajo correspondientes y reportes de desempeño de los terceros, contar con documentación de su infraestructura tecnológica, de la seguridad de la información, y de los controles que aseguren la transmisión y almacenamiento de información de la IFPE, así como de la información personal o sensible de sus clientes por parte de los terceros. Otras obligación de las IFPE que permiten a ellas y a las autoridades tener un control sobre los proveedores contratados, son las siguientes: (i) contar con un padrón de todos los prestadores de servicios, incluidos los proveedores subcontratados por estos, así como de los administradores de comisionistas y comisionistas contratados; (ii) realización de auditorías, al menos, anualmente por si misma o a través de un tercero para verificar el grado de cumplimiento a los servicios que prestan los comisionistas, (iii) tener plenamente identificadas las operaciones que se realizan a través del comisionista o administrador de comisionistas de forma independiente a las que se verifiquen a través de sus plataformas, y (iv) responder en todo momento por el servicio y operaciones realizadas a través de estos terceros. Con lo anterior, la CNBV tendrá los insumos necesarios para realizar sus labores de supervisión adecuadamente, además de que se generaría certeza jurídica a las destinatarias de la norma, disminuyendo el riesgo tecnológico, además de la protección de los clientes en la realización de operaciones a través de terceros con los que la IFPE celebren contratos de comisión mercantil, la correcta prestación de los servicios y operaciones de estas instituciones cuando se celebren contratos de Cómputo en la Nube, salvaguardando la seguridad informática, así como la información personal y sensible de los clientes. | |
| Obligaciones#9 Establecen obligaciones Artículos aplicables: 56; 57 primer a tercer párrafos y 58 de la Propuesta Regulatoria. Con la presente acción regulatoria se busca que las IFPE, a través de un tercero independiente, realicen una evaluación, al menos, cada dos años sobre el nivel de cumplimiento a los requerimientos de seguridad de la información, uso de los canales de instrucción y continuidad operativa, considerando que el resultado de esa evaluación sea entregado al órgano de administración de la IFPE o al comité de auditoría en caso de que cuente con este, previéndose como salvaguarda a estas evaluaciones, que no podrán ser realizadas por más de dos períodos consecutivos por el mismo tercero independiente, estableciéndose que únicamente podrá designarse nuevamente al tercero independiente transcurridos cinco años posteriores a la última evaluación de cumplimiento realizada a la IFPE por este tercero. Al efecto, se indica de forma expresa que la independencia del tercero que realice dicha evaluación, así como de las personas morales por medio de las cuales estos presten sus servicios, deberá ser a la fecha de la celebración del contrato de prestación de servicios, durante toda la evaluación y hasta la fecha de la emisión del reporte de la evaluación de cumplimiento de los aspectos referidos. Con todo ello, se busca que las IFPE sean evaluadas periódicamente, lo que facilitará las facultades de supervisión de la CNBV y de Banxico sobre el grado de apego a las disposiciones de la Propuesta Regulatoria, lo que abonará en el sano y equilibrado desarrollo de estas instituciones de tecnología financiera y del sistema financiero en su conjunto. |
| Grupo o industria al que le impacta la regulación#1 Instituciones de fondos de pago electrónico. VÉASE: ANEXO “MONETIZACIÓN COSTOS Y BENEFICIOS”. |
No, la propuesta no contempla esquemas que impactan de manera diferenciada a sectores o agentes económicos, ya que las disposiciones deberán ser observadas por todas las destinatarias de la norma que se mencionan en este AIR de forma general y en igualdad de circunstancias.
| Grupo o industria al que le impacta la regulación#1 Como se ha indicado, por tratarse de un sector de reciente creación, la CNBV carece de información que le permita obtener una monetización de los beneficios que conllevaría la implementación de la Propuesta Regulatoria; no obstante, en el anexo denominado “Monetización costos y beneficios”, se describen de manera cualitativa y, en los casos en que procedió, se cuantificaron los beneficios solicitados. VÉASE: ANEXO “MONETIZACIÓN COSTOS Y BENEFICIOS”. | |
| Describa de manera general los beneficios que implica la regulación propuesta#2 .
|
La CNBV considera que los beneficios serán notoriamente superiores, desde el punto de vista cualitativo, a cualquier costo monetario que pudiera generar la implementación de la Propuesta Regulatoria debido a que: 1. Traerá como resultado un ordenamiento del mercado en el que operarán las IFPE, debido a que se tendrán normas claras para los participantes que generarán certidumbre y seguridad jurídica, que incentivarán la realización de nuevos negocios. 2. Cimentará las condiciones de seguridad y certeza que permitirán a los clientes utilizar la innovación financiera y, al mismo tiempo que se apoya la inclusión financiera al ampliarse la base de personas que utilizarán servicios financieros. 3. Generará mayor confianza a los clientes de las IFPE, tal como ahora se advierte en las entidades supervisadas, al gozar de mayor confianza. 4. Permitirá que más personas tengan acceso a servicios financieros debidamente regulados y que se agilicen operaciones de pago, con una reducción en los costos de los productos y servicios financieros, toda vez que el uso de la tecnología genera mayor competencia y mejores precios por los servicios, siempre en beneficio de los clientes de las IFPE. 5. La CNBV y Banxico contarán con un marco secundario que le permitirá, a través de sus facultades de supervisión, detectar posibles riesgos tecnológicos, legales y de reputación que impidan el correcto funcionamiento de las IFPE. 6. Las IFPE se desarrollarán en un ambiente adecuado y competitivo con apego a lo previsto en la LRITF. 7. Se atenderá el dinamismo y crecimiento inherente al sector de las IFPE, así como su consecuente fortalecimiento y encauce normativos. 8. Las IFPE estarán en condiciones de hacer frente a riesgos y ataques que pudieran ocasionarles afectaciones a ellas y a la realización de operaciones con sus clientes, contando con medidas específicas para proteger su información, otorgar certeza en su operación y continuidad de los servicios. 9. Se regulará el funcionamiento y uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones que componen su infraestructura tecnológica, cumpliendo con los principios de neutralidad tecnológica y protección al consumidor establecidos en la LRITF. 10. Las IFPE estarán en condiciones jurídicas de pactar con terceros la prestación de servicios necesarios para su operación, así como aquellos servicios que requerirán de la autorización de la propia CNBV y Banxico, tomando en cuenta para ello la debida protección de la información sensible de los clientes de estas entidades financieras. 11. Los clientes de las IFPE contarán con información necesaria para identificar los riesgos en que incurren por la celebración de operaciones y la toma de decisiones. 12. Que la CNBV y Banxico cuenten con la información correspondiente a las actividades y operaciones de las instituciones de fondos de pago electrónico.
Apartado IV. Cumplimiento y aplicación de la propuesta
La implementación de la Propuesta Regulatoria se llevará a cabo a través de su publicación en el DOF y sin que se requiera de un programa en particular por parte de la CNBV o Banxico para tal fin.
Apartado V. Evaluación de la propuesta
La CNBV y Banxico evaluarán el logro de los objetivos de la regulación, a través del ejercicio de las atribuciones en materia de inspección y vigilancia, tales como el análisis de la información y documentación que presenten las destinatarias de la norma en su solicitud de autorización ante esta autoridad.
Apartado VI. Consulta pública
Si
| Mecanismo mediante el cual se realizó la consulta#1 Circulación del borrador a grupos o personas interesadas y recepción de comentarios Integrantes del sector de instituciones de tecnología financiera en México. Se incluyó en la Propuesta Regulatoria. |
Se contienen en la Propuesta Regulatoria.
Apartado VII. Anexos
COMISIÓN NACIONAL DE MEJORA REGULATORIA
Reporte de fallas o problemas técnicos a: soportetics@conamer.gob.mx
Calle Frontera 16, Colonia Roma Norte, Alcaldía Cuauhtémoc, 06700 Ciudad de México
Tel. (55) 5629-9500 ext. 22602.
Aviso de Privacidad