Logocofemer

Estás aquí­: Inicio /Portal de anteproyectos/Anteproyecto/50842




Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera.



El contenido del resumen es responsabilidad de la dependencia.


Resumen del anteproyecto


La presente propuesta regulatoria tiene por objeto emitir las disposiciones de carácter general que deberán observar las instituciones de fondos de pago electrónico en las siguientes materias: 1) seguridad de la información; 2) funcionamiento y uso de medios electrónicos, ópticos de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, y 3) contratación de servicios con terceros, nacionales o extranjeros, para la prestación de servicios necesarios para la operación de las propias IFPE y la evaluación correspondiente por parte de terceros.

El contenido del resumen es responsabilidad de la dependencia.


Summary of the draft


Draft’s purpose for the issuance of the general provisions for IFPE regarding: 1) information security; 2) operation and use of electronic, optical means or any other technology, automated data processing systems and telecommunications networks; 3) contracting services with third parties, national or foreign, for the provision of services necessary for the IFPE´s operation and its thirt part review.

Dictámenes Emitidos


Últimos comentarios recibidos:


Comentario emitido por: Regina Puca Sanchez


Los presentes comentarios a las Disposiciones aplicables a las instituciones de fondos de pago electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo; y 56, primer y segundo párrafos de la Ley para Regular a las Instituciones de Tecnología Financiera se emiten por parte de NVIO PAGOS MÉXICO, S.A.P.I. DE C.V., INSTITUCIÓN DE FONDOS DE PAGO ELECTRÓNICO. En relación con la definición de "Administrador de comisionistas" prevista en el artículo 1 se sugiere prever la diferencia específica entre proveer un servicio y el servicio de administración de comisionistas. En términos de la definición propuesta de "información personal" del artículo 1 se sugiere cerrar el contenido del supuesto normativo a efecto de generar certidumbre y evitar cualquier tipo de arbitrariedad en su aplicación o en su caso, hacer referencia a la legislación o normativa aplicable. Asimismo, en cuanto a la definición de "información sensible" se sugiere definir cuáles serán los "demás datos de naturaleza financiera" a efecto de generar certidumbre y evitar cualquier tipo de arbitrariedad en la aplicación de la norma. En relación con la obligación de notificación establecida en el último párrafo del artículo 4 se considera como una notificación que puede impactar de manera negativa en la experiencia del cliente en los medios electrónicos por los que las instituciones de fondos de pago electrónico ("IFPE") ofrezcan sus servicios, principalmente si se toma en cuenta que los mismos clientes son los que están solicitando la deshabilitación de notificaciones, en este sentido, se asume que los mismos conocen y están conscientes de los riesgos que implica. El artículo 5, fracción III menciona que para hacer uso de los factores de autenticación que contengan información derivada de características propias del cliente, tales como aquellas de carácter biométrico, huellas dactilares, geometría de la mano o de la cara, patrones en iris o retina y reconocimiento de voz se deberá solicitar autorización de la Comisión Nacional Bancaria y de Valores ("CNBV") y al Banco de México ("Banxico"). Sin embargo, es pertinente mencionar que existen métodos de autenticación puestos a disposición por los mismos sistemas operativos de los teléfonos móviles que permiten al cliente autenticarse sin tener que proporcionar esta información a la IFPE. Por lo que, se recomienda permitir el uso de estos factores sin la solicitud y autorización previa de la CNBV y Banxico. Estos métodos de autenticación facilitan la experiencia del Cliente y son reconocidos a nivel internacional como estándar en múltiples industrias. Asimismo, se considera relevante aclarar sobre la fracción II del artículo 5 que existen factores de autenticación en donde el cliente no administra la información, sino que depende de terceros proveedores. En relación con el artículo 6 se considera relevante resaltar que algunos de los factores de autenticación con los que cuentan ciertos dispositivos móviles no permiten a las IFPE tener acceso a la información. En este sentido, las instituciones dependen del proveedor de software de los dispositivos móviles para garantizar el resguardo y seguridad de la información. Esto imposibilita a las instituciones a dar la descripción de los medios de transmisión y resguardo de la información. Esto significa que a través del uso de interfaces de programación de aplicaciones, la institución es capaz de validar que el dispositivo móvil auténticó correctamente al usuario, de acuerdo a los parámetros establecidos por el sistema operativo, pero no es capaz de asegurar o resguardar la información del usuario. Por lo que, se sugiere revisar la redacción del párrafo segundo donde que contiene la solicitud para obtener autorización, ya que actualmente podría dificultar el uso de los factores de autenticación descritos anteriormente. En relación con el artículo 11 se sugiere agregar el siguiente texto a la fracción III para que la misma sea consistente con lo dispuesto por la Circular 12/2018 y la Ley para Regular las Instituciones de Tecnología Financiera "salvo que se trate de páginas de Instituciones de Fondos de Pago Electrónico del Exterior, subsidiarias o entidades pertenecientes al mismo grupo empresarial". Toda vez que las IFPE pueden contener en sus sitios web referencias a las mismas. Asimismo, en relación con lo dispuesto por la fracción II del mismo artículo 11 se sugiere evaluar que el número de intentos fallidos antes del bloqueo del factor de autenticación es muy restrictivo. La obligación de bloquear el factor de autenticación tras cuatro intentos fallidos podría ocasionar un incremento sustancial en los departamentos de atención al cliente de las IFPE, además de originar procedimientos adicionales para que el cliente pueda tener acceso a su cuenta. Es importante considerar que el número de combinaciones numéricas de un factor de autenticación es cercano a un millón de distintos factores de autenticación. Por lo que la probabilidad de que se adivine un factor de autenticación con cuatro intentos es alrededor de 0.0000025. Por lo anterior, se sugiere eliminar la obligación de bloquear los factores de autenticación de manera permanente tras cuatro intentos para asegurar la seguridad de las cuentas de los clientes bastaría mantener un periodo de bloqueo temporal de diez minutos por cada tres intentos fallidos. El artículo 21 contempla una obligación por parte de la institución de fondos de pago electrónico de realizar pruebas de escaneo de vulnerabilidades sobre los componentes de la Infraestructura Tecnológica de terceros y comisionistas contratados que almacenen, procesen o transmitan información de las mismas. Sin embargo, se considera que esta obligación podría resultar excesiva si se espera que la propia IFPE esté directamente involucrada en el proceso de pruebas. Se sugiere establecer la disposición en el sentido que la IFPE pueda cumplir con esta obligación solicitando al tercero o al comisionista correspondiente la información sobre las pruebas de escaneo de vulnerabilidad que el mismo realice, por lo que, la IFPE no estaría involucrada directamente, sino que únicamente recibiera prueba documental de que se realizan periódicamente y en su caso, que se implementan los planes de remediación correspondientes. Asimismo, se considera que el periodo bimestral establecido para la realización de pruebas de escaneo de vulnerabilidades resulta ser muy corto, por lo que, implica un fuerte impacto regulatorio, principalmente, si se compara con la misma obligación por parte de otros participantes del sector financiero. Se sugiere consultar como referencia el artículo 168 Bis 12 fracción III de la Circular Única de Bancos. Por lo que respecta a la responsabilidad del director general de vigilar que dichas pruebas se lleven a cabo, se sugiere restringirla al cumplimiento de que se lleven a cabo dichas pruebas. En todo caso, extender la responsabilidad técnica más allá del cumplimiento excede de las funciones a las que se pretende responsabilizar al mismo. En relación con el artículo 24 se considera necesario contemplar la obligación de publicitar y mantener actualizados los estándares mínimos de cumplimiento para los requisitos señalados en el mismo artículo, lo anterior, con el fin de brindar certeza y seguridad jurídica a los particulares y evitar cualquier tipo de arbitrariedad. El artículo 26 dora de validez normativa y obligatoriedad a los comunicados que en conjunto se emitan por la CNBV y Banxico en sus sitios de internet, sin embargo, se considera que este punto vulnera el principio de legalidad. En cuanto a lo dispuesto por el artículo 28 se considera que el uso de firmas electrónicas impone una carga regulatoria excesiva, además de no garantizar la integridad y el no repudio de la información, por lo que, se sugiere evaluar otras opciones. En cuanto a la información generada conforme al artículo 29 se podría considerar como información personal e información personal sensible, por lo que, estaría sujeta a la protección descrita en estas disposiciones mismas que son contrarias a lo dispuesto por este artículo. Asimismo, los plazos previstos en el último párrafo de este artículo para la entrega de la información a los clientes difieren de los previstos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, por lo que, se siguiere ser consistentes en los mismos. Se sugiere que lo dispuesto por el artículo 34 en relación con el plazo para corregir las observaciones realizadas en las pruebas de penetración se modificara para que éste iniciara en los siguientes 20 días en que es notificado a la autoridad y no desde la recepción del documento. En cuanto a lo dispuesto por el artículo 35 se sugiere prever que el CISO, en el auxilio de sus funciones y sin menoscabo de sus responsabilidades, pueda ser auxiliado por terceros. Asimismo, contemplar que tratándose de remociones, renuncias o ausencias del CISO las funciones podrán efectuarse por un oficial en jefe de seguridad de la información temporal. En relación con el artículo 37 se considera que existe una inconsistencia en el proceso de aprobación al Plan de Continuidad del Negocio en las instituciones de fondos de pago electrónico que cuentan con director general y consejo de administración. En todo caso, y para efectos de consistencia se sugiere que la facultad del consejo de administración sea la de tomar conocimiento de la evidencia de la aprobación e implementación. En relación con las obligaciones en las fracciones del artículo 42, entre ellas, la de realizar la notificación a la CNBV y el Banco de México sobre los Incidentes de Seguridad de la Información o Evento de Seguridad de Información, así como la investigación correspondiente se considera que será más eficiente que se realice por la persona designada en términos del artículo 40 de las presentes disposiciones, ya que cuenta con el conocimiento en la materia así como con toda la información. En todo caso, el ámbito de responsabilidad técnica del director general no cumple con la finalidad de la norma. En el último párrafo del artículo 43 se menciona que se deberá de poner a disposición de los clientes una descripción general de las afectaciones, así como individualizadas, que tuvieron sus clientes, en un plazo máximo de sesenta minutos contados a partir de la materialización del evento. Lo anterior debido a la naturaleza de las contingencias operativas. En caso de que se llegara a experimentar una Contingencia Operativa, el equipo encargado de solucionarlo sería el mismo equipo que pueda dar una descripción de las afectaciones. Para la mayoría de las Instituciones de Fondos de Pago Electrónico esta podría representar una carga innecesaria durante una contingencia, ya que se debería priorizar las tareas relacionadas a restablecer las operaciones o en su caso solucionar la Contingencia Operativa. Por lo que, se solicita que se extienda el plazo o que la obligación nazca a partir de que se haya resuelto la contingencia operativa. En el mismo sentido, se contempla que el plazo de cinco segundos descrito en el párrafo cuarto de este artículo resulta ser muy corto para poder enviar a los clientes dicha notificación. En relación con el artículo 44 se observa lo siguiente: fracción I, especificar la inmediatez en la prestación del servicio. Fracción II, especificar el alcance de lo que habrá de entender por “proceso” relacionados con la contabilidad o tesorería. Fracción III, especificar el alcance de la proveeduría primaria en relación con la parte contratante directa en los contratos de prestación de servicios. Aclarar que la aprobación de las contrataciones a cargo del director general no conlleva que ocurra directamente a la suscripción de las mismas.En todo caso, prever un procedimiento administrativo de autorización que prevea el derecho de audiencia y los criterios de autorización a las instituciones de fondos de pago electrónico, privilegiando la certeza y seguridad jurídica del procedimiento. En la redacción del artículo 45 se recomienda que en todos los supuestos se prevea que el plazo sea “de al menos veinte días hábiles de antelación”. Asimismo, se resalta que existen muchos proveedores que una IFPE contrata que requieren del procesamiento en carácter de encargados de datos personales de los Clientes, la aprobación por parte de las autoridades de estos contratos no sólo excede sus facultades sino que también hace lenta la aprobación.La presente disposición atenta contra el principio de libertad contractual de las personas, adicionalmente las autoridades se exceden en sus facultades al realizar una valoración a priori de las facultades técnicas de un tercero proveedor no regulado ni sujeto a la regulación de las autoridades. En relación con lo dispuesto por el artículo 46 se sugiere prever un procedimiento administrativo de autorización que prevea el derecho de audiencia y los criterios de autorización a las instituciones de fondos de pago electrónico, privilegiando la certeza y seguridad jurídica del procedimiento. Asimismo, se sugiere aclarar que la aprobación de las contrataciones a cargo del director general no conlleva que ocurra directamente a la suscripción de las mismas. Sobre lo establecido por el artículo 47 se sugiere prever un procedimiento administrativo de autorización que prevea el derecho de audiencia y los criterios de autorización a las instituciones de fondos de pago electrónico, privilegiando la certeza y seguridad jurídica del procedimiento. Asimismo, se recomienda verificar las inconsistencias de los plazos entre “en un plazo no mayor a veinte días hábiles previo a inicio“, con por lo menos veinte días hábiles de anticipación a la fecha. Como consecuencia de lo dispuesto en el artículo 49 se sugiere prever un procedimiento administrativo de autorización que prevea el derecho de audiencia y los criterios de autorización a las instituciones de fondos de pago electrónico, privilegiando la certeza y seguridad jurídica del procedimiento. Asimismo, se considera oportuno excluir la aprobación del órgano de administración respecto a que no habrá impacto en la continuidad de la operación, con “motivo de la distancia geográfica y del lenguaje que se utilizará”, toda vez que excede del ámbito técnico de responsabilidad del órgano de administración. En relación con lo que se señala en el artículo 50 se considera lo siguiente: como parte del nuevo tratado comercial negociado entre México, Estados Unidos y Canadá se incluyó un capítulo destinado al desarrollo del comercio digital, ya que se reconoce el crecimiento económico y las oportunidades que el mismo ofrece. En este capítulo destinado al comercio digital los Estados parte acordaron establecer, en el artículo 19.12, que ninguno de los tres Estados podría exigir a una persona cubierta a usar o ubicar las instalaciones informáticas en el territorio de ese mismo Estado, como condición para la realización de negocios en ese territorio. En este sentido, se considera que si bien la redacción no restringe a las Instituciones de Fondos de Pago Electrónico localizar sus instalaciones informáticas o de Cómputo en la Nube en una jurisdicción determinada, sí se genera una limitación en los proveedores de servicio que pueden utilizar. La mayoría de los proveedores de Cómputo en la Nube que son capaces de ofrecer un servicio y precios competitivos se encuentran localizados en una misma jurisdicción. El obligar a las IFPE a contratar con un proveedor en una jurisdicción distinta a la jurisdicción de sus ubicaciones principales representa una carga onerosa que limitaría la capacidad de ofrecer un buen servicio. En este sentido, la mayoría de los proveedores de tecnología o de Cómputo en la Nube permiten a las instituciones crear Zonas de disponibilidad en distintas regiones para mitigar cualquier riesgo al que pudiera estar expuesto una ubicación determinada. Lo anterior, inclusive es un servicio que puede ser ofrecido en múltiples jurisdicciones. El imposibilitar utilizar al mismo proveedor para los sitios secundarios incrementa la complejidad, el trabajo y los recursos que se tienen que destinar a la infraestructura. Un incremento en costos podría significar una pérdida en competitividad para las IFPE que estén contempladas en los supuestos a) y b) del artículo 50. Adicionalmente los nuevos umbrales descritos con los supuestos a) y b) del presente artículo no coinciden con los montos y umbrales establecidos en la Circular 12/2018 publicada por el Banco de México. Sin perjuicio de lo antes señalado, lo dispuesto en los literales a) y b) pretende regular de manera arbitraria la carga regulatoria y administrativa a las instituciones de fondos de pago electrónico, tomando como base el volumen o montos de las operaciones y no las operaciones per se, implicando al efecto asimetría regulatoria en perjuicio del sector. El último párrafo significa una violación a la CPEUM en virtud de la aplicación retroactiva de la norma. A continuación, se sugiere que el artículo 51, fracción III, prevea que la información o documentación se pueda conservar de manera electrónica o digital. Para efectos de conservación prever la disponibilidad inmediata en contraposición al señalamiento de que se mantengan en las oficinas. En todo caso, señalar que sea en el domicilio social y no en las oficinas, o en donde realicen las funciones administrativas, toda vez que las instituciones de fondos de pago electrónico podrán tener varias oficinas. Se sugiere que el padrón al que se refiere el artículo 52 pueda ser digital. En el caso de las fracciones I, II y III del artículo 59 se sugiere especificar si se debe cumplir con los requisitos de cada una de las fracciones o de la totalidad de los mismos. Agradecemos de antemano su atención y consideración de los comentarios y sugerencias presentados. Asimismo, reiteramos nuestra mayor disposición para colaborar y mantener un canal de comunicación que fomente la oportuna regulación del sector.

Fecha: 26/01/2021 23:41:25

Comentario emitido por: Nombre de usuario no publico


Grupo Conektame, S.A. de C.V., con nombre comercial “Conekta”, hacemos referencia al Anteproyecto de las Disposiciones Aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo; y 56, primer y segundo párrafos de la Ley para Regular las Instituciones de Tecnología Financiera ( el “Anteproyecto IFPEs”), relativo al expediente 05/0012/200220 disponible en la página electrónica de esa Comisión Nacional de Mejora Regulatoria en el sitio: http://187.191.71.192/expedientes/24024 Al respecto, dentro de esta consulta pública Conekta desea emitir los siguientes comentarios: 1. Respecto de la autorización de la contratación de servicios con terceros: El artículo 44 del Anteproyecto IFPES establece que las instituciones de fondos de pago electrónico requerirán autorización del Banco de México y la Comisión Nacional Bancaria y de Valores (CNBV) para contratar la prestación de servicios con cualquier tercero que cumpla con las características que dicho artículo establece en tres fracciones. En relación a dicha autorización, el artículo 49 del Anteproyecto IFPEs establece la documentación que las instituciones de fondos de pago electrónico deberán presentar junto con la solicitud de autorización y, además, señala el plazo que tanto el Banco de México como la CNBV tendrán para resolver respecto de la misma. Sin embargo, en este estado de cosas, advertimos que el hecho de que se tenga que presentar la solicitud de autorización y su respectiva documentación a ambas autoridades resulta ineficiente e implica una falta de certeza jurídica. Por un lado, resulta ineficiente pues el hecho de presentar la misma solicitud de autorización y la misma documentación a dos autoridades financieras implica altos costos de transacción. Por otro lado, implica falta de certeza jurídica toda vez que en el Anteproyecto IFPES, y de manera concreta en los artículos antes señalados, no se prevé qué sucederá en caso de que una autoridad responda de manera positiva la solicitud de autorización y posteriormente la otra responda de manera negativa en el plazo establecido para tal efecto. Lo anterior llevaría a criterios contradictorios de los cuales, cabe señalar, no se prevé solución en el Anteproyecto IFPEs. A luz de lo anterior, solicitamos que en relación con el procedimiento para la autorización de la contratación de servicios con terceros se disponga en el Anteproyecto IFPEs un único canal de solicitud y tramitación para dicho efecto, y ante una sola autoridad u órgano. Para ello, toda vez que para organizarse y operar las instituciones de fondos de pago electrónico tienen que ser autorizadas por la CNBV previo acuerdo del Comité Interinstitucional (instancia colegiada integrada por servidores públicos de la Secretaría de Hacienda y Crédito Público (SHCP), del Banco de México y de la propia CNBV) —hecho que de facto y de iure implica un complejo proceso en donde previamente se sujetan a una detallada revisión —, proponemos que para el procedimiento de solicitud y tramitación de la autorización de la contratación de la prestación de servicios que cumplan con las características del artículo 44 del Anteproyecto IFPEs y con la documentación del artículo 49, se establezca un único órgano compuesto por funcionarios del Banco de México y la CNBV, el cual sea el encargado de autorizar o denegar la autorización de la respectiva contratación. O en su caso, que sea únicamente una autoridad la que deba autorizar, ya sea sólo el Banco de México o sólo la CNBV. Por otra parte, se solicita se aclare cómo sería el proceso en que la autoridad puede pedir más información al particular, entre otras cosas, no se señala cuánto tiempo tiene el particular para responder a la autoridad. Se requiere un proceso mejor detallado. Lo anterior con la intención de otorgar certeza jurídica en el procedimiento, así como lograr que el mismo resulte más eficiente. 2. Respecto al proceso de aviso del artículo 45 del Anteproyecto IFPEs. Se considera que el proceso de aviso al que hace referencia el artículo 45 del Anteproyecto IFPE genera incertidumbre jurídica ya que no establece claramente las cuestiones que las autoridades tomarán en cuenta para negar una contratación. Es decir, invertiremos tiempo en celebrar un contrato que no sabemos si tal contratación va a ser negada. El artículo 45 en comento simplemente señala que el Banco de México y la CNBV podrán requerir que no se haga la contratación cuando cualquiera de las dos autoridades considere que no se cumplen ciertas condiciones. Al respecto, los términos “términos y condiciones de contratación del servicio, políticas y procedimientos de control interno, o infraestructura tecnológica o de comunicaciones” son vagos y no se establece claramente qué va a tomar en cuenta la autoridad en el caso concreto. Asimismo, también pueden negar una contratación cuando se pueda ver afectada la “estabilidad financiera o continuidad operativa de la IFPE”, términos igualmente vagos y que generan incertidumbre. Por otra parte, con el fin de salvaguardar los derechos de los particulares, proponemos que la decisión de las autoridades no sea en un solo acto y tajante, sino que las IFPE tengan oportunidad de explicar o modificar lo que consideren las autoridades es la causa de la negación. De lo contrario, se violarían derechos de las partes, creando incertidumbre entre las contratantes. Finalmente, es necesario que se establezca que los particulares siempre tendrán el derecho de presentar un nuevo aviso o una nueva solicitud de autorización. Sin más por el momento, agradecemos su atención y consideración.

Fecha: 10/09/2020 12:34:46

Comentario emitido vía correo electrónico

B000203099

Fecha: 04/09/2020 09:19:00

Comentario emitido por: Jessica Vilchis Rodríguez


MercadoLibre, S. de R.L. de C.V. realiza comentarios a la postura de las autoridades en respuesta a los apuntes realizados previamente al Proyecto de Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera (Proyecto): Respecto al Artículo 1, las autoridades decidieron ajustar únicamente la definición de Transferencia. Se solicita eliminar de la definición de Transferencia propuesta las palabras “de Pago” que se repiten debiendo quedar de la siguiente manera: “Transferencia: A aquella Operación de Transferencias de Fondos o de Transferencia de Fondos de Pago de Pago Electrónico. -Artículo 6, 11, 24, 26, 33, 34, 43 y 57 -Se insiste en que se establezcan plazos de respuesta por parte de las autoridades para cada solicitud de las contempladas en el artículo 6 bis (artículos 6, 11, 24, 26, 33, 34, 43, y 57), buscando con ello gozar de certeza jurídica. Lo anterior de conformidad con lo señalado en el artículo 5 de la Ley FinTech, en el sentido que se establezca un plazo en disposición expresa, toda vez que éstas solicitudes, no son trámites que se encuentren consignados en la citada Ley.- Artículo 6 penúltimo párrafo- Se sugiere que al texto modificado se agreguen las palabras “enunciativa y no limitativamente” como a continuación se señala, con la intención de que se puedan usar otros mecanismos o procedimientos que la tecnología permita asegurar la no duplicación de la información transmitida previamente: ”Las instituciones de fondos de pago electrónico deberán contar con mecanismos y procedimientos para asegurar que, en el uso de los Factores de Autenticación a que se refiere la fracción III del artículo 5, la información transmitida para el proceso de Autenticación sea distinta cada vez que sea generada, mediante la incorporación de información adicional como, enunciativa y no limitativamente, estampas de tiempo, número aleatorios, contadores, entre otros, en el proceso de encriptación del mensaje, de forma que en ningún caso se pueda utilizar nuevamente o duplicarse.” - Artículo 8, último párrafo - Para contar con una redacción más clara se sugiere eliminar las palabras “por Operaciones”, para quedar como a continuación se propone: “Las instituciones de fondos de pago electrónico quedarán sujetas a lo establecido en la Circular 12/2018 emitida por el Banco de México para el caso en que reciban reclamaciones por cargos no reconocidos de sus Clientes por Operaciones que deriven de que alguna de las Operaciones descritas en las fracciones I y II del presente artículo.” - Artículo 12, fracción I - Se insiste en que se reconsidere para el identificador del cliente lo señalado en la fracción I de este artículo, toda vez que la dirección de correo electrónico o el número de teléfono móvil, es un dato que no solo conocen el usuario y la institución de fondos de pago electrónico, es decir lo puede conocer alguien distinto a estos y por ello se considera que no son necesarios mecanismos para impedir la lectura, o en su caso explicar la razón de este requerimiento. - Artículo 15, fracción I - Las autoridades manifestaron:“No procede, al no proporcionar mayor información, sobre cuáles serían los “otros mecanismos de seguridad”. Por lo anterior, se manifiesta que bajo metodologías actuales existen arquitecturas que permiten asegurar los datos de los clientes, así como la segregación de funciones. Tales mecanismos, permiten sin tener ambientes productivos y de desarrollo y pruebas tradicionales, lograr un control, seguridad y segregación de funciones con los más altos estándares: 1) Ambiente de desarrollo y pruebas en cada microservicio. Se logra mediante una segregación lógica de los equipos de computo. Esto es posible gracias a un Framework Ágil de desarrollo que se basa en los conceptos de Integración Continua y Delivery Continuo. 2) Contar con un catálogo de tráfico, en donde cada microservicio tiene permitido el acceso o está restringido. 3) Contar con un Boveda de Datos en donde, se asegure que sólo los microservicios permitidos accedan a los datos según su clasificación. - Artículo 21 - Se insiste en que los escaneos de vulnerabilidades se realicen en periodos más largos (6 meses). Se solicita se elimine de la propuesta realizada el siguiente texto: “, o de terceros y comisionistas contratados que almacenen, procesen o transmitan información de las instituciones y de sus clientes.” para evitar confusiones con lo señalado en el artículo 49, fracción II, inciso i) en el que se señala que en los contratos celebrados con terceros deberá quedar constancia de la aceptación expresa del tercero para “permitir realizar las revisiones mencionadas o proporcionar la evidencia de que el tercero realiza dichas revisiones” . Se considera que no es necesario el establecimiento de plazos y más requerimientos para la elaboración de planes de remediación, toda vez que cuando se realicen las auditorías correspondientes, los auditores se asegurarán, en su caso, de la existencia de los mismos.- Artículo 43 - Se considera excesivo la realización de diversos avisos en periodos de tiempo corto, por lo que se propone dejar únicamente el aviso a los usuarios afectados, en un periodo de tiempo más amplio. Proponiendo la siguiente redacción: “Artículo 43.-… Por su parte, en caso de que, producto de una Contingencia Operativa, se afecten uno o a más Canales de Instrucción, la institución de fondos de pago electrónico de que se trate deberá hacer de conocimiento a sus Clientes o usuarios del medio de disposición que, conforme a su conocimiento, estén siendo afectados por la Contingencia Operativa, en un plazo no mayor a cinco segundos tres minutos contados a partir de que se presente la Contingencia Operativa, de la intermitencia o imposibilidad del uso de estos a través de los medios de notificación pactados con ellos y deberá mantener evidencia de ello. Adicionalmente, la institución de fondos de pago electrónico deberá poner a disposición del público en general, en el sitio de internet que la institución de fondos de pago electrónico haga del conocimiento de sus Clientes, la información relativa a la Contingencia Operativa de que se trate, incluyendo, al menos, la naturaleza, fecha y hora de inicio del evento, duración, así como una descripción general de las afectaciones que tuvieron sus Clientes, en un plazo máximo de treinta minutos contados a partir de la materialización del evento y, en caso de existir, deberá delimitar y señalar las afectaciones individuales a cada Cliente o usuario del medio de disposición, mismas que deberá hacer del conocimiento de sus Clientes por los medios previamente pactados para este fin, en un plazo máximo de veinticuatro horas de la materialización del evento.” - Artículo 47- respecto a la eliminación del requerimiento de solicitar autorización para la contratación de comisionistas con los que se pretenda llevar a cabo operaciones de retiro de efectivo, la postura de las autoridades fue: “Se analizará homologarlo con CUB”, por lo que se insiste en que se realice la homologación de la regulación en el caso de contratación de comisionistas con los que se pretenda llevar a cabo operaciones de retiro de efectivo, a fin de equiparar la carga regulatoria. (art. 321 CUB)- Artículo 48 - Se insiste en que se encuentren homologados los límites para ingreso de efectivo para las Instituciones de Fondos de Pago Electrónico, ya sea realizado por sí mismo o a través de comisionista, ya que esto genera confusión en las obligaciones que las Instituciones de Fondos de Pago Electrónico deben cumplir y las que las mismas deben exigir de los comisionistas con los que se contraten dichas actividades. En todo caso aclarar ¿cuál es el criterio para establecer las diferencias, particularmente por qué el límite diario para los depósitos a través de comisionistas al término del mes termina siendo un total mensual aproximado de 120,000 UDIS, cuyo monto es superior al límite establecido para las IFPE que, en su caso, lo realizaren por sí mismas? - Artículo 49 - Se solicita la homologación de la redacción propuesta para la fracción IV de este artículo a lo señalado en el artículo 86, fracción IV de las Disposiciones de carácter general aplicables a las Instituciones de Tecnología Financiera. - Artículo 50 - En atención a que hasta el momento no se conoce una redacción para este artículo, se propone la siguiente: “Artículo 50.- La institución de fondos de pago electrónico que se ubique en los supuestos previstos en este artículo y contrate con algún tercero la prestación de servicios de Cómputo en la Nube para realizar procesos cuya interrupción, parcial o permanente, imposibiliten a la institución de fondos de pago electrónico la emisión, administración, redención o liquidación transmisión de fondos de pago electrónico, conforme a los actos a los que refieren las fracciones II,III, IV y V del artículo 22 de la Ley, deberá mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, los actos a los que se refiere el presente artículo en territorio nacional, o mantener dicha capacidad a través de un prestador de servicios cuya persona o Grupo de Personas que ejerzan el Control, sean distintos al tercero referido y que esté constituidos y sujetos a jurisdicciones nacionales distintas a aquellos en que se haya constituido y quede sujeto dicho tercero Únicamente quedarán obligadas a observar lo dispuesto en el presente artículos las instituciones de fondos de pago electrónico que se ubiquen en alguno se los supuestos siguientes: I.Durante un periodo de doce meses calendario consecutivos realicen más de 5.4 1.2 millones de Transferencias, o envíen o reciban Transferencias por un monto total superior a 16.2 3.6 mil millones de UDIS, y que dicha operativa se conserve por los siguientes doce meses calendario consecutivos, o bien, II. En cualquier momento hayan contado con más de 850 100 mil cuentas de fondos de pago electrónico que, durante un periodo de doce meses calendario consecutivos, hayan tenido en cualquier momento saldo positivo o que hayan enviado al menos una Transferencia en dicho periodo, o hayan contado con un saldo total en las Cuentas de Fondos de Pago Electrónico que lleven a sus Clientes superior a 2.5 mil 300 millones de UDIS, y que dicha operativa se conserve por los siguientes doce meses consecutivos calendario. Las instituciones de fondos de pago electrónico tendrán un plazo de doce meses 180 días naturales contados a partir del primer día del mes calendario inmediato posterior a aquel en el que se cumpla alguna de las características establecidas en las fracciones I y II del presente artículo para dar cumplimiento a lo establecido en este artículo.- Transitorios - Se propone realizar los siguientes cambios en la redacción de los artículos transitorios: “PRIMERO.- Las presentes Disposiciones entrarán en vigor a los 12 meses 90 días naturales siguientes a la fecha de su publicación en el Diario Oficial de la Federación. SEGUNDO.- Las instituciones de fondos de pago electrónico tendrán un plazo no mayor a 6 meses, contados a partir del día siguiente de la entrada en vigor de las presentes Disposiciones, para dar cumplimiento a lo establecido en el artículo 15, y la evaluación a que se refiere el artículo 33 de las presentes Disposiciones, generar un plan de remediación y trabajo documentado para atender lo referente a estos últimos artículos, así como para mostrar evidencia de las correcciones realizadas conforme a dicho plan y presentarlo al Banco de México y a la Comisión Nacional Bancaria y de Valores.TERCERO.-Las instituciones de fondos de pago electrónico contarán con un plazo de 12 meses, contados a partir del día siguiente de la entrada en vigor de las presentes Disposiciones, de la fecha de publicación de este instrumento en el Diario Oficial de la Federación, para dar cumplimiento a lo establecido en los artículos 16 ,17 y 50.” Asimismo, por lo que se refiere al transitorio tercero en relación con el artículo 50, ¿aclarar cuál sería el mecanismo para realizar el cómputo de los plazos establecidos tanto en este artículo transitorio como los señalados en el propio artículo 50, es decir, se cuenta el plazo de 12 meses establecido en el artículo transitorio y posterior a esos 12 meses se inicia el conteo de los plazos establecidos para alcanzar los límites señalados en los numerales I y II romanos de dicho artículo y cuando se haya alcanzado el plazo señalado se cuentan 180 días para su implementación?

Fecha: 03/09/2020 18:34:58

Comentario emitido vía correo electrónico

B000202802

Fecha: 17/08/2020 08:01:00

Comentario emitido por: Sissi Maribel De La Peña Mendoza


La Asociación Latinoamericana de Internet (ALAI) desea expresar nuestra preocupación por (i) la inclusión del artículo 50, el cual impone a las Instituciones de Fondos de Pago Electrónico (IFPEs) que contraten servicios de cómputo en la nube, la obligación de residencia de datos o esquema multi-proveedor, (ii) así como por lo dispuesto en el artículo 49, que establece un modelo de autorización con alto grado de discrecionalidad, para efectos de que las entidades IFPEs puedan contratar los mencionados servicios de cómputo en la nube, para la provisión de servicios financieros. Desde nuestro punto de vista, este modelo de autorización con alta discrecionalidad se ha convertido en uno de los principales obstáculos para la adopción de los servicios de cómputo en la nube en nuestro país. Por lo anterior, nos permitimos hacerles llegar algunas consideraciones y sugerencias, anexas a esta carta, así como algunas clarificaciones sobre lo que es el cómputo en la nube. Estas sugerencias resumen los impactos de las mencionadas disposiciones a las distintas empresas representadas en ALAI. Agradecemos su consideración a lo aquí presentado. INTRODUCCIÓN Y RESUMEN Durante los últimos 15 años, las instituciones financieras han trabajado bajo un contexto de grandes retos, cambios rápidos y sin precedentes. Podemos citar, por ejemplo, la transformación de los marcos legales, regulatorios y de seguridad desde la crisis financiera de 2007-2008, así como nuevos desarrollos tecnológicos y cambios en las necesidades y expectativas de los usuarios de servicios financieros, esto último de manera acelerada en el actual contexto de la pandemia. El conjunto de involucrados en el sector financiero está en constante evolución, con participantes y productos nuevos que se suman de manera acelerada. Como resultado, las instituciones financieras están en la búsqueda constante de alternativas para redefinir sus modelos de negocios y herramientas para poder atender a sus consumidores de manera más eficiente, segura, personalizada y competitiva. En ese contexto, el cómputo en la nube se ha vuelto un componente crítico para la democratización de los avances e innovaciones tecnológicas. Gracias a la tecnología de nube, instituciones financieras (y empresarios en general) de todos los tamaños y segmentos de mercado, pueden innovar y desarrollar nuevos productos y servicios para sus clientes, con exactamente los mismos niveles de redundancia, seguridad y resiliencia, que está disponible para las grandes instituciones financieras. Las empresas innovadoras que nos dan servicios que disfrutamos todos los días, como Netflix, Rappi, Nubank, Airbnb, Mercado Libre, Amazon, etc., todas, ofrecen sus servicios desde la nube, de manera segura e innovando en beneficio de sus clientes. El cómputo en la nube ofrece a todas las empresas la oportunidad de innovar sin que se requiera de inversiones que representan una barrera de entrada. La competencia y dinamismo que se genera en el sistema financiero gracias a la innovación, se convierten en una oportunidad inigualable para la democratización de los servicios de tecnología en el sector financiero y con ello para tener un sector financiero más eficiente y saludable, que puede impactar de manera positiva en la inclusión financiera y la consecución de una economía más próspera. Como es sabido en la industria de Tecnologías de la Información (TI), los requerimientos de residencia de datos como el incluido en el artículo 50 del Anteproyecto IFPE, no contribuyen al logro de los objetivos de seguridad de la información, no consideran medidas y políticas que garantizan la continuidad del servicio, impactan negativamente en la estructura de costos de los proveedores de servicios financieros y a partir de la entrada en vigor del Tratado Estados Unidos – México – Canadá (TMEC) el pasado 1 de julio, son contrarios a las obligaciones que el país ha contraído en materia de servicios financieros y economía digital en la región de Norteamérica, específicamente en relación con los capítulos 17 y 19 de dicho tratado. Los requerimientos de residencia de datos parten de mitos acerca de los riesgos de seguridad y la equivocada percepción sobre la existencia de riesgos sistémicos, asociados a los servicios de nube. Es por ello que resulta imprescindible considerar las características de la infraestructura de cómputo de los proveedores de nube y su oferta de herramientas tecnológicas. Sin perjuicio de lo hasta ahora expresado, lo cierto es que, de ser implementados con la redacción actual, los artículos 49 y 50 del Anteproyecto IFPEs constituyen importantes barreras de entrada para las IFPEs al sistema financiero mexicano, lo que generará a la postre efectos negativos en la inclusión financiera, competencia e innovación, en detrimento de los usuarios finales de servicios financieros. El crecimiento, diversificación y eficiencia del sector financiero mexicano, serán afectados negativamente por estos requerimientos, que en nuestra opinión carecen de sustento desde un punto de vista tanto técnico como legal, tal como se expone en las siguientes secciones de este documento. ELEMENTOS BÁSICOS DE LOS SERVICIOS Y DE LA INFRAESTRUCTURA DE NUBE Los Proveedores de Servicios de Computación en la Nube (PSNs) ponen a disposición de sus clientes el uso de una infraestructura global operada bajo el modelo de auto-servicio, siendo los clientes los que eligen, entre uno o varios países, el lugar o lugares desde donde se presta el servicio. El diseño de los servicios de cómputo en la nube permite a los clientes desarrollar una arquitectura robusta, redundante, de alta disponibilidad y resiliencia utilizando la infraestructura global de centros de datos, zonas de disponibilidad e incluso múltiples regiones para mitigar los posibles riesgos de “no-disponibilidad” o los que se presenten en casos de desastres naturales que afecten a un centro de datos. Resulta relevante mencionar que el control de los datos lo tienen los clientes y son ellos los que determinan dónde almacenarlos y procesarlos, asimismo, pueden transferirlos a otros PSNs o bien realizar el cambio a un centro de datos “on-premises” en cualquier momento. Esto se facilita a través de las tendencias dentro de la industria encaminadas hacia el open source y otras opciones que proporcionan a los consumidores mayor libertad para moverse entre distintos ambientes. De igual manera, los clientes tienen la opción de replicar sus datos en varias zonas de disponibilidad y regiones, para garantizar su operación con una resiliencia de alto nivel. Cada zona de disponibilidad está diseñada como una zona de error independiente. Esto significa que las zonas de disponibilidad están físicamente separadas dentro de una región metropolitana habitual y se encuentran en terrenos llanos poco propensos a inundaciones. Además de los sistemas de alimentación ininterrumpida discretos y las instalaciones de generación de energía de reserva in situ, las zonas de disponibilidad se alimentan a través de diferentes redes y proveedores independientes para reducir aún más cada uno de los puntos de error. Todos los centros de datos de los PSNs se encuentran en línea y a disposición de los clientes, por lo que ninguno está “inactivo”. En caso de error, los procesos automatizados permiten desviar el tráfico de datos del cliente y garantizar disponibilidad. Además de la infraestructura que proporcionan los servicios de nube, los clientes tienen acceso a las más avanzadas herramientas para generar copias de las instancias de cómputo en distintas regiones y a otras para la distribución de tráfico, auto escalamiento y aprovisionamiento automatizado, lo cual les permite alcanzar resiliencia, redundancia y posturas de seguridad que no son alcanzables por un centro de datos operado por la propia institución o por un proveedor de centros de datos. La utilización del cómputo en la nube no representa riesgos sistémicos al sistema financiero. Como se explicó anteriormente, la arquitectura de la infraestructura de los PSNs es diseñada con múltiples redundancias y capacidades de escalamiento, flexibilidad y seguridad automatizadas. Es por esto que todo tipo de organizaciones, desde las dedicadas a tareas de seguridad nacional o militar, hasta bancos globales y otras instituciones con tareas e información altamente sensible, confían en los servicios de cómputo en la nube. Los cientos de herramientas para seguridad, cumplimiento y gobernanza que cada uno de los PSNs ofrece, hace que el uso del cómputo en la nube, bajo arquitecturas bien diseñadas, de hecho, reduzca los riesgos al sistema financiero, en comparación con la tecnología tradicional de centros de datos. CONTENIDO DEL ARTÍCULO 50 Considerando que lo dispuesto en el artículo 50 del Anteproyecto IFPEs (i) no fortalece el cumplimiento de los objetivos de seguridad y protección de la información, (ii) limita la capacidad de innovación de las IFPEs y (iii) es contrario a los compromisos internacionales que México ha contraído en la región de Norteamérica, atentamente solicitamos que sea eliminado. Requisitos de residencia de datos Como se mencionó anteriormente, solicitar a la IFPE el “(...) mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, los actos a los que se refiere el presente artículo en territorio nacional (...) ”, no aporta elementos que contribuyan a la seguridad y protección de la información, no considera las medidas y políticas que garantizan la continuidad del servicio y es contrario a los compromisos internacionales que México ha contraído en la región de Norteamérica. En materia de seguridad y protección de la información, conforme ha evolucionado la tecnología, se han hecho evidentes tres realidades y a partir de ellas, es que se deben analizar los riesgos de seguridad: 1) Las vulnerabilidades se explotan de manera remota y las amenazas se propagan a través de internet. 2) Los procedimientos manuales y el factor humano, son la causa raíz de la gran mayoría de los eventos de seguridad, y 3) La mayor parte de los eventos de seguridad ocurren por errores o por actividades maliciosas de individuos que tienen acceso a las credenciales o autorizaciones de acceso, dentro de las mismas organizaciones. La ubicación de los datos no tiene relación alguna con estas realidades. Al mismo tiempo, el análisis de casos muestra que los mejores mecanismos de protección, detección, respuesta y recuperación ante eventos de seguridad, se basan en la modernización y automatización, elementos centrales de la oferta de valor de los PSNs globales. Los centros de datos operados por las mismas instituciones, o instalaciones similares, no cuentan con la homogeneidad, economías de escala, visibilidad y capacidad de automatización que caracterizan a los PSNs. Reiteramos que de acuerdo con nuestra interpretación, es difícil entender lo mandatado por el artículo 50 del Anteproyecto IFPEs (y toda disposición o preferencia relativa a residencia de datos) dado que discriminan en contra de los servicios de nube, los cuales, desde cualquier punto de vista, representan una tecnología superior y más avanzada que la tradicional de centros de datos. La tecnología de nube es más segura, con mayor resiliencia, más robusta y eficiente en términos de costos, que la tecnología tradicional. Es por esto que la tecnología de nube es la tecnología fundamental de la economía digital y de la innovación en el sector financiero en particular. Por lo anterior, la gran mayoría de los gobiernos, incluido el mexicano con la ratificación del TMEC, han reconocido que imponer requisitos de residencia de datos no solamente no sirve a este propósito, sino que es contrario al objetivo de construir una economía global y una economía digital dinámica y de alto crecimiento. Vale la pena resaltar el texto del Artículo 17.18 del tratado, que dispone: “Ninguna Parte requerirá que una persona cubierta utilice o ubique instalaciones informáticas en el territorio de la Parte como una condición para realizar negocios en ese territorio, siempre y cuando las autoridades reguladoras financieras de esa Parte tengan, para fines regulatorios y de supervisión, acceso inmediato, directo, completo y continuo a la información procesada o almacenada en las instalaciones informáticas que la persona cubierta utiliza o ubica fuera del territorio de la Parte.” De igual manera, el artículo 19.12 del TMEC señala: “Ninguna Parte podrá exigir a una persona cubierta usar o ubicar las instalaciones informáticas en el territorio de esa Parte, como condición para la realización de negocios en ese territorio.” La posibilidad de tener acceso inmediato, directo, completo y continuo a la información, por parte de las autoridades, existe con las herramientas que proporcionan los PSNs. Requisitos multi-proveedor El artículo 50 del Anteproyecto IFPEs, prevé la posibilidad de cumplir con el requisito de residencia de datos o alternativamente, utilizar un esquema multi-proveedor, al establecer que se utilice “ (...) un prestador de servicios cuya persona o Grupo de Personas que ejerzan el Control, sean distintos al tercero referido y que esté constituidos y sujetos a jurisdicciones nacionales distintas a aquella en que se haya constituido y quede sujeto dicho tercero.” Es de vital importancia entender que dado el rigor que involucra el implementar arquitecturas de nube redundantes, seguras y con alta resiliencia, los encargados de tecnología de las organizaciones naturalmente eligen a un solo proveedor. Desde nuestra perspectiva, debe considerarse lo siguiente en relación con las aproximaciones multi-proveedor obligatorias: 1) Se estandariza en la tecnología mínima: seguir un enfoque multi-proveedor obligatorio, implica que las organizaciones deben estandarizarse en el mínimo común denominador en términos de tecnología. Esto limita la capacidad de tener acceso a las mejores herramientas y limita la capacidad de innovación de las organizaciones. 2) Puede afectarse la operatividad y el desempeño de las soluciones: al obligar a los equipos de desarrollo a trabajar en múltiples plataformas en la nube, pueden crearse riesgos operativos y de seguridad, pues la integración no se da de manera natural. Lo anterior, podría propiciar que las instituciones incurran en desperdicio de recursos financieros y humanos, al tiempo que se incrementa la latencia (tiempo de respuesta), y 3) Las instituciones pueden reducir su acceso a ganancias económicas por volúmen: las instituciones podrían perder los potenciales beneficios económicos por escala que son tradicionales en los servicios de los PSNs. Esto va en contra de la eficiencia económica de las IFPEs y en ulterior detrimento del consumidor final. Como se explicó anteriormente, la arquitectura de la infraestructura y de los servicios de los PSNs, así como la gama de productos disponibles en las plataformas, permite a los usuarios de los servicios de cómputo en la nube, diseñar arquitecturas redundantes, seguras y con más resiliencia que la tecnología tradicional. En ese sentido, las instituciones deben tener abierta la posibilidad de valorar de manera individual en qué casos les resulta conveniente adoptar un esquema multi-proveedor y cuándo no, a efecto de determinar las soluciones más adecuadas para su negocio y sus clientes. Por ello, como se ha mencionado, consideramos que debe eliminarse la obligatoriedad de adoptar un esquema multi-proveedor y en caso de que se decida optar por el esquema multi-proveedor no se busque que estos proveedores se encuentren en jurisdicciones distintas. CONTENIDO DEL ARTÍCULO 49 Con relación a lo dispuesto por el artículo 49 del Anteproyecto IFPEs, atentamente solicitamos que su contenido sea reformulado, a fin de garantizar certeza y mejores prácticas regulatorias para las IFPEs. De manera particular, involucrar a dos autoridades en el proceso de autorización sin procedimientos claros, al estipular en el último párrafo del numeral que se comenta, que “El Banco de México y la CNBV contarán con un plazo de (...)”, contraviene la sana práctica regulatoria de tener una sola ventanilla para un trámite, además de resultar extremadamente vago. Sobre este particular, es pertinente mencionar que en las Disposiciones de carácter general aplicables a las redes de medios de disposición, expedidas conjuntamente por el Banco de México y la Comisión Nacional Bancaria y de Valores (CNBV), y que fueron el primer instrumento normativo emitido por ambas autoridades, las facultades de cada una de ellas están claramente delimitadas. A mayor abundamiento, la Regla 3ª de dichas disposiciones, señala que la “CNBV podrá solicitar a los Participantes en Redes, aquella información que las Autoridades requieran en el ejercicio de sus facultades”; es decir, en ese caso, la autoridad requirente sólo será la Comisión, aun con respecto a la información que el Banco de México necesite. No hay un ejercicio conjunto de la facultad de requerir la información, sino que tal atribución es conferida solo a la Comisión, en aras de otorgar certeza jurídica a los destinatarios de la norma. Además de lo anterior, el estipular que “Cualquier requerimiento de información adicional que realice el Banco de México o la CNBV interrumpirá el plazo señalado en este párrafo”, sin plazos de respuesta claros, concede una amplia discrecionalidad al servidor público en turno, con riesgo de convertir la facultad de autorización en una potestad arbitraria al desconocerse los supuestos sobre los cuales las autoridades pueden requerir información adicional a la descrita en el Anteproyecto IFPE. Asimismo, tal previsión deja a la IFPE en un total estado de indefensión, ya que no existe claridad en el tiempo de respuesta. Lo anterior, es claramente contrario a lo preceptuado por el primer párrafo del artículo 7 de la Ley para Regular las Instituciones de Tecnología Financiera, que a la letra establece que “Las Autoridades Financieras, en el ámbito de su competencia, podrán emitir disposiciones de carácter general para simplificar los procedimientos y establecer formas de cumplimiento más sencillas de los requisitos previstos en esta Ley, siempre que no se incurra en riesgos injustificados.” Lenguaje como el que aquí se comenta, presente en otras disposiciones o lineamientos relacionados con la autorización de terceros para otras entidades financieras, se ha traducido en que las solicitudes para el uso de servicios de cómputo en la nube sean retrasadas por meses o años. Por esto, atentamente se solicita que se estipule un procedimiento con tiempos, procedimientos y atribuciones claras. Sobre el modelo de autorización para la utilización de los servicios de nube De acuerdo con nuestra experiencia y, según el derecho comparado, el procedimiento de autorización para el uso de servicios de nube contraviene las mejores prácticas regulatorias en la región. Basta con ver ejemplos como la Resolución 4,568 del Banco Central de Brazil “Política de Ciberseguridad y Requisitos para la Contratación de Servicios de Nube” (https://www.bcb.gov.br/ingles/norms/Resolution%204658.pdf) o la Circular 005 y su Anexo “Reglas Relativas al Uso de Servicios de Cómputo en la Nube”, de la Superintendencia Financiera de Colombia (https://www.superfinanciera.gov.co/descargas/institucional/pubFile1036287/ance005_19.zip), las cuales establecen regímenes de notificación que imponen obligaciones de debida diligencia y análisis de riesgo de los regulados a los terceros con los que contratan, además de enlistar requisitos mínimos para los contratos entre las entidades financieras y los terceros proveedores de los servicios de nube. Los procesos de autorización para el uso de los servicios de cómputo en la nube se han convertido en el principal obstáculo a la adopción de la tecnología de nube en el sector financiero mexicano. En línea con lo anterior, cabe señalar que no es ajeno al regulador mexicano, la previsión de procedimientos expeditos y simplificados de autorización. El pasado 4 de junio se publicaron en el Diario Oficial de la Federación las Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera (Disposiciones API), en las cuales se prevé que el acceso por parte de entidades financieras, instituciones de tecnología financiera, sociedades autorizadas para operar con modelos novedosos, transmisores de dinero y terceros especializados en tecnologías de información (Solicitantes de Datos) se tendrá por autorizado por parte de la CNBV sin necesidad de declaración alguna, siempre y cuando la API desarrollada o administrada por el Solicitante de Datos cumpla con los lineamientos de seguridad para Datos Abiertos y de arquitectura de datos, así como con el diccionario de datos abiertos de cajeros automáticos, establecidos en los anexos 1, 2 y 3 de las Disposiciones API. Dentro de los propios CONSIDERANDOS de las Disposiciones API, se menciona “Que con la finalidad de establecer formas de cumplimiento más sencillas que las previstas en la Ley, así como para evitar la creación de trámites innecesarios que representen costos adicionales a los destinatarios de la norma, se prevé una manera más expedita de obtener, de la Comisión Nacional Bancaria y de Valores, la autorización para acceder a los datos financieros abiertos a través de interfaces de programación de aplicaciones informáticas estandarizadas.” HACIA LA CONSTRUCCIÓN DE UN MARCO DE POLÍTICA PÚBLICA QUE FOMENTE LA ADOPCIÓN DE NUBE Y LA INNOVACIÓN En vista de lo aquí presentado, consideramos que es fundamental eliminar el Artículo 50 del referido Anteproyecto IFPEs, así como modificar la redacción del Artículo 49 (y relacionados) de tal manera que se pueda generar una buena práctica regulatoria, sin discrecionalidad, con claros períodos de respuesta y resolución de la autoridad. Consideramos que de ser implementados con la redacción actual, los artículos 49 y 50 podrían generar un daño significativo a la innovación en el sector financiero, en detrimento de los usuarios finales. Esto, sin que exista un beneficio claro de las medidas diseñadas, como ha quedado de manifiesto. A partir de lo expuesto, confiamos en que nuestros comentarios serán tomados en consideración, a efecto de que el diseño de la regulación secundaria tenga en mente la importancia de no afectar la innovación en el sector financiero, sobre todo en ámbitos tan cambiantes y modernos como el cómputo en la nube. Es entendible que al ser el cómputo en la nube una tecnología disruptiva y transformacional de la industria de tecnologías de información, existan dudas y cuestionamientos al respecto. Sin embargo, consideramos que a partir de información completa al respecto, la regulación puede reflejar las mejores prácticas en materia de tecnologías de información y cómputo en la nube para fomentar la innovación en nuestro país. En diciembre del 2018, el Comité de Supervisión Bancaria de Basilea, identificó el diálogo con los PSNs como una de las principales herramientas para generar entendimiento sobre los servicios de nube, así como para atender la preocupación de que las entidades financieras utilicen los servicios de los PSNs de manera segura y responsable. ALAI y sus miembros amablemente solicitan la oportunidad de establecer un diálogo constructivo con las autoridades financieras en México, con el ánimo de contribuir al diseño de una regulación y marco de política pública que permitan a México aprovechar los beneficios de la tecnología y con ello, dirigir al país hacia la consecución de los objetivos de inclusión financiera y recuperación económica en la actual crisis por la que atraviesa el mundo.

Fecha: 16/08/2020 22:29:33

Comentario emitido por: José de la Luz López Santiago


COMENTARIOS AL PROYECTO DE DISPOSICIONES APLICABLES A LAS INSTITUCIONES DE FONDOS DE PAGO ELECTRÓNICO A QUE SE REFIEREN LOS ARTÍCULOS 48, SEGUNDO PÁRRAFO; 54, PRIMER PÁRRAFO; Y 56, PRIMER Y SEGUNDO PÁRRAFOS DE LA LEY PARA REGULAR LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA ________________________________________________________________________________________________________________________ · Respecto al artículo 1 se establece lo siguiente: “[…] Contingencia Operativa: a cualquier evento que dificulte, limite o impida a una institución de fondos de pago electrónico realizar sus Operaciones o aquellos procesos que pudieran tener una afectación a sus Clientes o a la propia institución de fondos de pago electrónico. […]” Comentario: Se propone eliminar “dificulte, límite o”, ya que un evento que dificulte o provoque una limitación no necesariamente debería materializar una contingencia operativa. ________________________________________________________________________________________________________________________ · Respecto al artículo 1 se establece lo siguiente: “[…] Información Sensible: a la conjunción del nombre, apellidos u otro elemento de información que permita identificar al Cliente o al receptor de Transferencias, así como la información de Identificador del Cliente, de las Cuentas, de los números de Tarjetas, de la información de Operaciones previas, información que permita la Autenticación o demás datos de naturaleza financiera. […]” Comentario: Se propone hacer un cambio de denominación para esta definición, ya que se podría confundir con la definición de dato personal sensible, la información a la que se refiere esta definición debería denominarse como Información Financiera. ________________________________________________________________________________________________________________________ · Respecto al artículo 3 se establece lo siguiente: “Artículo 3.- Las instituciones de fondos de pago electrónico podrán permitir a sus Clientes: (i) la contratación de Operaciones y servicio adicionales a los originalmente convenidos, (ii) modificar los términos y condiciones para la prestación de los servicios anteriormente convenidos, previo consentimiento expreso de sus Clientes, el cual podrá obtenerse por dichas instituciones a través del proceso de Autenticación referido en el artículo 7 de las presentes Disposiciones, desde el Canal de Instrucción de que se trate, o bien, (iii) contratar el uso de otro Canal de Instrucción, siempre y cuando la institución de fondos de pago electrónico requiera, para ello, al menos, un Factor de Autenticación.” Comentario: se propone eliminar “(ii) modificar” y sustituirlo por “(ii) aceptar la modificación de”, esto porque los términos y condiciones se entiende como un contrato de adhesión que se pone a disposición del cliente, en este sentido no se puede permitir al Cliente modificarlo, solo aceptar su modificación. Asimismo, se propone eliminar “el cual podrá obtenerse por dichas instituciones a través del proceso de Autenticación referido en el artículo 7 de las presentes Disposiciones”, es suficiente que el artículo 3 establezca que la aceptación de modificación de los términos y condiciones se realice con previo consentimiento expreso. En este sentido, se propone que el artículo 3 quede de la siguiente manera: “Artículo 3.- Las instituciones de fondos de pago electrónico podrán permitir a sus Clientes: (i) la contratación de Operaciones y servicios adicionales a los originalmente convenidos, (ii) aceptar la modificación de los términos y condiciones para la prestación de los servicios anteriormente convenidos, previo consentimiento expreso de sus Clientes, desde el Canal de Instrucción de que se trate, o bien, (iii) contratar el uso de otro Canal de Instrucción, siempre y cuando la institución de fondos de pago electrónico requiera, para ello, al menos, un Factor de Autenticación.” ________________________________________________________________________________________________________________________ · Respecto al artículo 4 se establece lo siguiente: “Artículo 4.- Las instituciones de fondos de pago electrónico deberán notificar a sus respectivos Clientes, en un periodo no mayor a tres segundos, […]” Comentario: se solicita a la autoridad tomar en cuenta aumentar el periodo de notificación, ya que 3 segundos es un periodo muy corto para realizar las notificaciones respectivas. Asimismo, considerar un piso parejo para las IFPE respecto a las instituciones de crédito. ________________________________________________________________________________________________________________________ · Respecto al artículo 11 se establece lo siguiente: “Artículo 11.- Las instituciones de fondos de pago electrónico deberán prever lo necesario para que, una vez autenticado el Cliente en el Canal de Instrucción, la Sesión no pueda ser utilizada por un tercero. Para efectos de lo anterior, las instituciones de fondos de pago electrónico establecerán, al menos, los mecanismos siguientes: […] En el caso en que la institución de fondos de pago electrónico pretenda establecer parámetros distintos a los establecidos en este artículo deberá obtener previamente la autorización del Banco de México y de la CNBV. Las solicitudes de dichas autorizaciones deberán presentarse mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV.” Comentario: Existe un alto costo para las IFPE de establecer parámetros distintos a los establecidos, ya que es necesario la autorización de dos autoridades. ¿Qué pasará en el supuesto que las autoridades no resuelvan lo mismo? ¿Existe algún procedimiento para el supuesto que una autoridad conceda el permiso y la otra no? Este comentario se repite a lo largo de todo el proyecto de disposiciones. Existe un alto costo para las IFPE, ya que los procesos o autorizaciones requieren de la autorización de Banxico y de CNBV, esto va en contra del principio de competencia, ya que no son obligaciones que permitan un piso parejo para las IFPE en comparación con las entidades tradicionales. Los procesos o autorizaciones a las que se refieren dichas disposiciones se repiten para la banca tradicional, pero para la cual solo se requiere la autorización de la CNBV. Esto último, no comulga con un piso parejo para estos nuevos participantes en el sistema financiero. ________________________________________________________________________________________________________________________ · Respecto al artículo 14 se establece lo siguiente: “Artículo 14.- Las instituciones de fondos de pago electrónico deberán establecer procedimientos y mecanismos para que sus Clientes que realicen Operaciones o soliciten los servicios de estas a través de Canales de Instrucción puedan, en todo momento, desactivar la realización de dichas Operaciones o la solicitud de servicios de forma temporal en caso de requerirlo, así como establecer procedimientos para reactivar el uso cuando los Clientes lo soliciten. Las instituciones de fondos de pago electrónico deberán permitir a los Clientes desactivar de manera temporal la realización de las Operaciones y la solicitud de los servicios mencionados en el párrafo anterior, a través de los Canales de Instrucción que al efecto hayan convenido con ellos, solicitando al menos un Factor de Autenticación. Para la reactivación de la realización de las Operaciones y la solicitud de servicios que las instituciones de fondos de pago electrónico presten a través de Canales de Instrucción, dichas instituciones deberán permitir a los Clientes utilizar los Canales de Instrucción que convengan para este fin, para lo cual deberán requerir, al menos, un Factor de Autenticación. Las instituciones de fondos de pago electrónico deberán observar lo señalado en el artículo 7 de estas Disposiciones para que puedan permitir el acceso al Canal de Instrucción de que se trate una vez que se haya reactivado el servicio.” Comentario: Se debe permitir que para los productos o servicios que son independientes la desactivación de este producto o servicio no implique la desactivación temporal de otros productos o servicios. Por ejemplo, la desactivación del uso de tarjeta no debería implicar la desactivación de transferencias desde la aplicación. Esto último, porque la información que contiene la tarjeta no se necesita para la realización de una transferencia. ________________________________________________________________________________________________________________________ · Respecto al artículo 17 se establece lo siguiente: “Artículo 17- Las instituciones de fondos de pago electrónico deberán contar con procedimientos y mecanismos que permitan estructurar la Información Personal y la Información Sensible almacenada en la Infraestructura Tecnológica, de tal manera que los datos personales de los Clientes no puedan ser relacionados con la información relativa a sus Operaciones, incluyendo, entre otros, los montos, así como los nombres o denominaciones de los receptores o emisores de los pagos realizados por los Clientes. Esta relación solo podrá ser generada a través de algoritmos de consulta diseñados por la institución de fondos de pago electrónico que deberán ser ejecutados a demanda cada vez que sea necesario construir esta relación, ya sea por medio de mecanismos manuales o de los sistemas informáticos.” Comentario: El proceso de almacenamiento y la obligación de relación entre la Información Personal e Información Sensible al que hace mención el artículo 17, no permite cumplir con obligaciones de tiempos de respuesta establecidos en estas disposiciones; por ejemplo, el tiempo de respuesta de 3 segundos del que habla el artículo 4. Es muy complicado desde el aspecto tecnológico, dar respuesta en 3 segundos cuando la construcción de la información sea a través de algoritmos de consulta. Se solicita a la CNBV y Banxico ser más precisos respecto al método de guardado de la información a nivel tecnología. ________________________________________________________________________________________________________________________ · Respecto al artículo 24 se establece lo siguiente: “Artículo 24.- Las instituciones de fondos de pago electrónico deberán contar con procedimientos y mecanismos de control de acceso a la Infraestructura Tecnológica que sean robustos y seguros, para lo cual deberán cumplir, al menos, con los requisitos siguientes: […] En el caso de que la institución de fondos de pago electrónico pretenda utilizar cualquier práctica o estándar distinto que no contenga los elementos antes mencionados, deberá obtener previamente la autorización del Banco de México y de la CNBV. Las instituciones de fondos de pago electrónico deberán presentar las solicitudes de dichas autorizaciones mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV. La CNBV y el Banco de México podrán divulgar en sus páginas de Internet los estándares que cumplen con los requisitos anteriores.” Comentario: Existe un alto costo para las IFPE de utilizar cualquier práctica o estándar distinto a los mencionados en este artículo, ya que es necesario la autorización de dos autoridades distintas: CNBV y Banxico. ¿Qué pasará en el supuesto que las autoridades no resuelvan lo mismo? La autorización por parte de dos autoridades para este supuesto, puede ir en contra del principio de neutralidad tecnológica, ya que la necesidad de la autorización por ambas autoridades encarece el costo de utilizar cualquier control de acceso que resulte más eficiente. ________________________________________________________________________________________________________________________ · Respecto al artículo 26 se establece lo siguiente: “Artículo 26.- Las instituciones de fondos de pago electrónico deberán establecer y documentar políticas y mecanismos para que los Canales de Instrucción solo utilicen aquellos protocolos de comunicación que garanticen la confidencialidad de la información en la comunicación punto a punto, de conformidad con las mejores prácticas y estándares internacionales de seguridad informática en esta materia, emitidas por el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio del Gobierno (National Institute of Standards and Technology, NIST), el Instituto SANS, y la Fundación OWASP de los Estados Unidos de América. Los mecanismos de cifrado implementados para dichos protocolos de comunicación deberán estar vigentes, no contar con vulnerabilidades conocidas y contemplar que la longitud de las claves de cifrado sean robustas. En caso de que alguna institución de fondos de pago electrónico pretenda utilizar cualquier práctica o estándar distinto a los señalados anteriormente, deberá obtener previamente autorización del Banco de México y de la CNBV. Para estos efectos, las instituciones de fondos de pago electrónico deberán presentar las solicitudes a que se refiere a este artículo al Banco de México y a la CNBV, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV.” Comentario: Respecto a las mejores prácticas y estándares internacionales de seguridad se propone eliminar la utilización del protocolo SANS, ya que este protocolo implica un alto costo de implementación a las IFPE o, en su caso, que dicho protocolo aplique para los servicios críticos. Asimismo, respecto al último párrafo existe un alto costo para las IFPE de utilizar cualquier práctica o estándar distinto a los mencionados en este artículo, ya que es necesario la autorización de dos autoridades distintas. ¿Qué pasará en el supuesto que las autoridades no resuelvan lo mismo? Esta autorización puede ir en contra del principio de neutralidad tecnológica ya que la necesidad de la autorización por ambas autoridades encarece el costo de utilizar cualquier control que resulte más eficiente. ________________________________________________________________________________________________________________________ · Respecto al artículo 34 se establece lo siguiente: “[…] En el caso de que, de las pruebas de penetración realizadas, se deriven observaciones de alta o muy alta criticidad, la institución de fondos de pago electrónico de que se trate deberá presentar al Banco de México y a la CNBV, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV, un plan de remediación documentado para subsanar dichas observaciones, en un plazo no mayor a 20 días hábiles de la finalización de las pruebas de penetración. El plan de remediación deberá firmarse digitalmente por el director general o, en su caso, el administrador único, y ser cifrado conforme lo dispuesto en el artículo anterior. La CNBV y el Banco de México podrán efectuar observaciones, en cualquier tiempo, a dicho plan de remediación. […]” Comentario: ¿Qué pasará en el supuesto que los comentarios realizados por la CNBV y Banxico sean contradictorios u ofrezcan una respuesta distinta? Este comentario se repite a lo largo de las disposiciones, ya que se detecta que no existe un proceso que dé certeza jurídica a los sujetos obligados respecto al supuesto en que las autoridades realicen comentarios contradictorios. Asimismo, se identifica que el presente proyecto de disposiciones no promueve un piso parejo entre las instituciones de crédito y las IFPE en los procesos de autorización, ya que para las autorizaciones a las que se refiere el presente proyecto y son similares a aquellas de las instituciones de crédito, las IFPE requiere la autorización de dos autoridades: Banxico y CNBV, mientras que para las instituciones de crédito solo se requiere la autorización de la CNBV. ________________________________________________________________________________________________________________________ · Respecto al artículo 42 se establece lo siguiente: “Artículo 42.- En caso de que se presente un Evento de Seguridad de Información en: (i) los componentes de la Infraestructura Tecnológica de la institución de fondos de pago electrónico; (ii) los Canales de Instrucción, o (iii) la infraestructura tecnológica de cualquier tercero que afecte la operación o la Infraestructura Tecnológica de la institución de fondos de pago electrónico, o bien, se presente un Incidente de Seguridad de la Información, el director general o, en su caso, el administrador único deberá: […] III. Cuando el Incidente de Seguridad de la Información se refiera a que la Información Personal o Información Sensible que se encuentre en custodia de la institución de fondos de pago electrónico o de terceros que le presten servicios, fue extraída, extraviada, eliminada, alterada, o bien, las instituciones de fondos de pago electrónico sospechen de la realización de algún acto que involucre accesos no autorizados a dicha información, el director general o, en su caso, el administrador único o la persona que alguno de estos designe, deberá notificar a los Clientes la posible pérdida, extracción, alteración, extravío o acceso no autorizado a su información, dentro de las siguientes veinticuatro horas a que ocurrió el Incidente de Seguridad de la Información o a que se tuvo conocimiento de este, a través de los medios de notificación que el Cliente haya señalado para tal efecto, a fin de prevenirlo de los riesgos derivados del mal uso de la información que haya sido extraída, extraviada, eliminada, o alterada, debiendo informarle las medidas que deberá tomar y, en su caso, efectuar la reposición de los medios de disposición que correspondan o la sustitución de Factores de Autenticación necesarios. La notificación deberá incluir al menos, la naturaleza, fecha y hora de inicio del evento, duración y, en caso de existir, delimitar y señalar las afectaciones individuales a cada Cliente La evidencia de esta notificación deberá incluirse en el resultado de la investigación señalada en el párrafo anterior.” Comentario: Se propone que no en todos los casos se avise a los Clientes sobre el Incidente de Seguridad, solo en aquellos supuestos en los que se actualiza un Incidente de Seguridad que sea relevante, ya que estos incidentes afectan de forma significativa los derechos patrimoniales o morales del cliente. Esto último, para actuar de conformidad con la normatividad de protección de datos personales, la cual no en todos los casos de incidencia existe la obligación de informar al titular de los datos, sólo en aquellos supuestos en los que exista una afectación significativa de sus derechos patrimoniales o morales. Por otro lado, de conformidad con el artículo 17 del proyecto de disposiciones las IFPE deberán contar con mecanismos que permitan estructurar y separar la Información Personal y la Información Sensible, de tal manera que los datos personales de los clientes no pueda ser relacionada con sus Operaciones y que solo podrá ser generada, la relación, mediante algoritmos. Esta forma de guardado de información permite que existan Incidentes de Seguridad sobre información que no comprometa los derechos patrimoniales o morales de los Clientes y no necesariamente sea obligatorio el aviso a los Clientes. ________________________________________________________________________________________________________________________ · Respecto al artículo 43 se establece lo siguiente: “Artículo 43.- […] Por su parte, en caso de que, producto de una Contingencia Operativa, se afecten uno o a más Canales de Instrucción, la institución de fondos de pago electrónico de que se trate deberá hacer de conocimiento a sus Clientes o usuarios del medio de disposición, en un plazo no mayor a cinco segundos de la intermitencia o imposibilidad del uso de estos a través de los medios de notificación pactados con ellos y deberá mantener evidencia de ello. Adicionalmente, la institución de fondos de pago electrónico deberá poner a disposición de sus Clientes o usuarios del medio de disposición, la información relativa a la Contingencia Operativa de que se trate, incluyendo, al menos, la naturaleza, fecha y hora de inicio del evento, duración y, en caso de existir, delimitar y señalar las afectaciones individuales a cada Cliente o usuario del medio de disposición, en un plazo máximo de veinticuatro horas de la materialización del evento.” Comentario: Se solicita ampliar el rango de tiempo, ya que no es factible notificar al cliente en 5 segundos la afectación de los Canales de Instrucción. Una contingencia Operativa requiere de un análisis que implica más de 5 segundos para determinar si existe dicha afectación a los Canales de Instrucción. ________________________________________________________________________________________________________________________ · Respecto al Capítulo V se propone lo siguiente: Comentario: Incluir un transitorio que permita a las IFPE que operan bajo el transitorio Octavo de la Ley para Regular las Instituciones de Tecnología Financiera un plazo para regularizar la contratación de terceros o comisionistas de conformidad con las obligaciones que establece este capítulo. Esto último, porque dada la contingencia por Covid-19 se han ampliado los plazos y podría existir el supuesto que las IFPE hayan contratado otros terceros o comisionistas que actualizan los supuestos del capítulo V. ________________________________________________________________________________________________________________________ · Respecto al artículo 44 se establece lo siguiente: “Artículo 44.- Las instituciones de fondos de pago electrónico requerirán autorización del Banco de México y la CNBV, para contratar la prestación de servicios con cualquier tercero que cumplan con las siguientes características: Los servicios que dicho tercero preste impliquen la transmisión, almacenamiento, procesamiento, resguardo o custodia de Información Personal o Información Sensible, imágenes de documentos de identificación expedidos por autoridades oficiales o información biométrica de los Clientes, siempre y cuando el tercero de que se trate tenga privilegios de acceso para conocer dicha información o a la información de configuración de seguridad, o bien, a la administración de control de accesos; […]” Comentarios: Por un lado, existe un costo regulatorio muy alto al establecer que la autorización debe ser por parte de dos autoridades: CNBV y Banxico. Esto implica, que no exista un piso parejo para las IFPE respecto a la banca tradicional, ya que los bancos para la contratación con terceros deben obtener la autorización solamente de la CNBV. Por otro lado, la forma en la que está redactada la fracción I permite que varios servicios prestados por terceros, que no necesiten la autorización de una autoridad por no ser relevantes, actualicen la necesidad de la autorización de Banxico y CNBV para su contratación. Por ejemplo, el de mensajería, el cual implica la custodia de la información personal. ________________________________________________________________________________________________________________________ · Respecto al artículo 50 se establece lo siguiente: “Artículo 50.- La institución de fondos de pago electrónico que se ubique en los supuestos previstos en este artículo y contrate con algún tercero la prestación de servicios de Cómputo en la Nube para realizar procesos cuya interrupción, parcial o permanente, imposibiliten a la institución de fondos de pago electrónico la emisión, administración, redención o transmisión de fondos de pago electrónico, conforme a los actos a los que refieren las fracciones II, III, IV y V del artículo 22 de la Ley, deberá mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, los actos a los que se refiere el presente artículo en territorio nacional, o mantener dicha capacidad a través de un prestador de servicios cuya persona o Grupo de Personas que ejerzan el Control, sean distintos al tercero referido y que esté constituidos y sujetos a jurisdicciones nacionales distintas a aquella en que se haya constituido y quede sujeto dicho tercero. […]” Comentarios: Se considera que no se debe obligar a las IFPE a mantener la capacidad de cómputo y procesamiento necesaria en territorio nacional o mantener dicha capacidad a través de un prestador de servicios cuya persona o Grupo de Personas que ejerzan el Control, sean distintos al tercero referido y que esté constituidos y sujetos a jurisdicciones nacionales distintas a aquella en que se haya constituido y quede sujeto dicho tercero. Esto último, derivado de que existen altos costos para una institución en proceso de autorización (Octavo Transitorio de la LRITF) que tenga contratado este tipo de servicios de Cómputo en la Nube con terceros en el extranjero, estos costos se refieren a aquellos de migración o de capacitación de personal en relación con la operación con otros terceros que permitan cumplir con la obligación del artículo 50. Asimismo, este artículo genera, a las IFPE, un aumento de costos operativos de infraestructura, por limitar la capacidad de negociación de los términos comerciales de los contratos. ________________________________________________________________________________________________________________________ · Respecto al transitorio primero se establece lo siguiente: “PRIMERO.- Las presentes Disposiciones entrarán en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.” Comentario: Aquellas instituciones que se ubican en el transitorio OCTAVO de la Ley para Regular las Instituciones de Tecnología Financiera deberán tener un plazo razonable para que las presentes disposiciones entren en vigor y, así, dichas instituciones puedan cumplir con las obligaciones establecidas. Esto último, independientemente de los plazos establecidos para los Transitorios SEGUNDO y TERCERO.

Fecha: 02/07/2020 16:37:03

Comentario emitido vía correo electrónico

B000202117

Fecha: 30/06/2020 09:01:00

Comentario emitido vía correo electrónico

B000202089

Fecha: 29/06/2020 10:11:00

Comentario emitido por: Nombre de usuario no publico


-Establer en los artículos 49 y 51, que servicios o fracciones del artículo 44 que le son aplicables, ya que únicamente menciona artículo general, lo que se presta a confusión . - El artículo 51 fracción I, debería establecer como requisito el contrato establecido en el artículo 49 fracción II, lo anterior por la similitud de los servicios pactados. - Redactar claramente artículo 50 en su primer párrafo, referencias incorrectas y confusas. - Indicar que la autorización del art. 44 es previa por lo que se debe establecer el tiempo mínimo para presentarla

Fecha: 24/05/2020 18:39:26



Comparte en:

Información del Anteproyecto:


Dependencia:

SHCP-Secretaría de Hacienda y Crédito Público

Fecha Publicación:

20/02/2020 15:48:39

Comentarios:


38

Comentarios Recibidos

CONSULTA EL EXPEDIENTE COMPLETO:



05/0012/200220