Los presentes son comentarios al Proyecto de Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera que se emiten en nombre de NVIO PAGOS MÉXICO, S.A.P.I. DE C.V. La estructura del presente es primero poner el artículo al que posteriormente se hace referencia en el comentario. "Artículo 1.- Para efectos de las presentes Disposiciones, se entenderá, en singular o plural, además de los términos utilizados en la Ley para Regular las Instituciones de Tecnología Financiera, los siguientes:" ... Se sugiere unificar definiciones en las distintas regulaciones emitidas por CNBV, BANXICO y CONDUSEF La definición de “Autenticación” que establece el artículo 1 de las Disposiciones es diferente, aunque similar a la ya establecida por las Disposiciones de carácter general aplicables a las Instituciones de Tecnología Financiera (las “Disposiciones generales”), por lo que se considera que podría generar algunas inconsistencias. Consideramos prudente tener una sola definición para el término incorporando para tal efecto la definición contenida en las Disposiciones Generales. La definición de “Evento de Seguridad de la Información” del artículo 1 de las Disposiciones se refiere a un posible indicio de posible afectación, mientras que en las Disposiciones generales, la misma definición habla de una suposición (“que pueda suponer”). Aunque la definición de las Disposiciones generales se refiere explícitamente a instituciones de financiamiento colectivo (IFC), la diferencia en la redacción entre ambas podría generar diferentes interpretaciones y criterios entre instituciones para el mismo tipo de eventos y más aún cuando las ITFs buscan mantener los estándares más altos de seguridad. Se sugiere utilizar la definición de las Disposiciones Generales. Asimismo, la definición de las Disposiciones de “Información sensible” incluye datos del cliente que en términos generales no se incluyen dentro de la definición de datos sensibles de la Ley Federal de Protección de Datos en posesión de Particulares, por lo que, podría llegar a generar distintos criterios de interpretación que dificulten la protección de la información de los clientes, por lo que se sugiere mantener la definición de la Ley. "Artículo 4.- Las instituciones de fondos de pago electrónico deberán notificar a sus respectivos Clientes, en un periodo no mayor a tres segundos, por los medios pactados con ellos que hayan elegido de entre los ofrecidos por dichas instituciones para tal fin, cuando, a través de Canales de Instrucción, se ejecute cualquiera de las Operaciones o se solicite a las instituciones de fondos de pago electrónico alguno de los servicios que ofrezcan, en los siguientes casos: I. Transferencias y entrega de cantidades de dinero derivado del cargo a la Cuenta del Cliente de que se trate, a partir de que el monto acumulado diario de las Operaciones realizadas supere el equivalente en moneda nacional a 60 UDIs, o bien, cuando cada una en lo individual, supere el equivalente en moneda nacional a 25 UDIs; II. Alta o modificación del medio de notificación al Cliente, en cuyo caso la institución de fondos de pago electrónico respectiva deberá enviar la notificación a que este artículo se refiere por el medio previamente pactado con el Cliente así como por el nuevo medio; III. Contratación de otro servicio provisto a través de Canales de Instrucción o modificación de los términos y condiciones para el uso del servicio previamente contratado, y IV. Desactivación, reactivación y modificación de los Factores de Autenticación. Las instituciones de fondos de pago electrónico deberán asegurarse de que la notificación que al efecto envíen conforme a este artículo no contenga Información Personal o Información Sensible del Cliente. No obstante, las instituciones de fondos de pago electrónico deberán habilitar mecanismos para que sus Clientes puedan, a su elección, recibir la información del saldo de la Cuenta en virtud de los servicios prestados a través de los Canales de Instrucción." Se sugiere revisar los tiempos de notificación, ya que son cortos. Se sugiere revisar los tiempos de notificación, ya que son cortos o en su caso entender el porqué de los tres segundos. Los tiempos para instituciones de banca múltiple son mayores (treinta segundos) y al ser una operación similar, seguir la misma lógica tecnológica. Es importante mencionar que, si bien la institución puede ejecutar los procesos necesarios para notificar al cliente, la institución no podrá asegurar que, en todas las ocasiones, el cliente sea notificado en el tiempo dispuesto en el Artículo 4. Lo anterior se debe a que podrían existir diversos factores que impidan la recepción del mensaje electrónico por parte del usuario. Consideramos que las disposiciones deberían contemplar que la entidad deberá hacer la emisión de la comunicación en el tiempo determinado, pero contemplando que la recepción del mensaje dependerá de distintas condiciones. De igual forma, es importante que se tome en consideración que el cliente deberá de gozar con la libertad de desactivar las notificaciones y comunicación por parte de la institución. La Institución no debería ser obligada a cumplir con el artículo anterior. "Artículo 6.- Las instituciones de fondos de pago electrónico podrán solicitar a la CNBV y al Banco de México que autoricen el uso de Factores de Autenticación referidos en las fracciones I y II del artículo anterior con características distintas a las señaladas en dicho artículo, así como la utilización de la información señalada en la fracción III de dicho artículo, siempre que acrediten que la tecnología utilizada, a juicio de ambas Autoridades Financieras, resulta fiable para autenticar a sus Clientes. La solicitud para obtener la referida autorización deberá contener lo siguiente: I. La descripción detallada del proceso, el cual deberá ser aprobado por el Órgano de Administración, así como la tecnología empleada en cada parte de este. II. La descripción de los medios necesarios para la transmisión y resguardo de la información que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación, así como su adecuada conservación y disponibilidad. Para el caso de la fracción III del artículo 5 de estas Disposiciones, la institución de fondos de pago electrónico que formule la solicitud referida deberá presentar adicionalmente la evidencia recabada de pruebas controladas, obtenida por la misma institución de fondos de pago electrónico o por una empresa especializada en certificación de tales Factores de Autenticación, con la capacidad de presentar reportes, de que la solución tecnológica y los métodos utilizados son efectivos para autenticar a sus Clientes, comparando la eficacia del Factor de Autenticación de que se trate con aquella de algún otro Factor de Autenticación recabado y procesado de conformidad con los estándares internacionales correspondientes. Las instituciones de fondos de pago electrónico deberán contar con mecanismos y procedimientos para asegurar que, en el uso de los Factores de Autenticación a que se refiere la fracción III del artículo 5, la información transmitida para el proceso de Autenticación sea distinta cada vez que sea generada, de forma que en ningún caso se pueda utilizar nuevamente o duplicarse. Las instituciones de fondos de pago electrónico deberán presentar las solicitudes y demás información a que se refiere a este artículo al Banco de México y a la CNBV, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV." Se sugiere unificar el canal de comunicación para hacer más eficiente la presentación y recepción de la solicitud. Se puede considerar habilitar el canal por medio de la plataforma Suptech. En términos generales, se sugiere establecer plazos específicos para el proceso de respuesta. "Artículo 17- Las instituciones de fondos de pago electrónico deberán contar con procedimientos y mecanismos que permitan estructurar la Información Personal y la Información Sensible almacenada en la Infraestructura Tecnológica, de tal manera que los datos personales de los Clientes no puedan ser relacionados con la información relativa a sus Operaciones, incluyendo, entre otros, los montos, así como los nombres o denominaciones de los receptores o emisores de los pagos realizados por los Clientes. Esta relación solo podrá ser generada a través de algoritmos de consulta diseñados por la institución de fondos de pago electrónico que deberán ser ejecutados a demanda cada vez que sea necesario construir esta relación, ya sea por medio de mecanismos manuales o de los sistemas informáticos." Es importante especificar cuál es la finalidad de este requerimiento. La aplicación del algoritmo de consulta mencionado en el Artículo tendría un impacto negativo significativo en el desempeño y rendimiento de las plataformas. Lo anterior, tanto en el desempeño de la infraestructura tecnológica como en la experiencia del usuario. En la práctica es una relación que se deberá de hacer constantemente para una cantidad grande de usuarios y no existe motivo para que esta separación sea necesaria. Adicionalmente, este tipo mecanismos no se les solicita a ninguna otra institución o entidad financiera. "Artículo 26.- Las instituciones de fondos de pago electrónico deberán establecer y documentar políticas y mecanismos para que los Canales de Instrucción solo utilicen aquellos protocolos de comunicación que garanticen la confidencialidad de la información en la comunicación punto a punto, de conformidad con las mejores prácticas y estándares internacionales de seguridad informática en esta materia, emitidas por el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio del Gobierno (National Institute of Standards and Technology, NIST), el Insitituto SANS, y la Fundación OWASP de los Estados Unidos de América. Los mecanismos de cifrado implementados para dichos protocolos de comunicación deberán estar vigentes, no contar con vulnerabilidades conocidas y contemplar que la longitud de las claves de cifrado sean robustas. En caso de que alguna institución de fondos de pago electrónico pretenda utilizar cualquier práctica o estándar distinto a los señalados anteriormente, deberá obtener previamente autorización del Banco de México y de la CNBV. Para estos efectos, las instituciones de fondos de pago electrónico deberán presentar las solicitudes a que se refiere a este artículo al Banco de México y a la CNBV, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV." Se considera que idealmente los reguladores pudieran definir clara y explícitamente los requisitos mínimos a cumplir por las instituciones con base en los lineamientos que ellos mismos mencionan. Lo anterior, debido a que el criterio actual es muy amplio y no es claro sólo el estándar mínimo requerido, ya que una institución podría cumplir parcialmente con las prácticas y estándares internacionales que mencionan, lo cual no garantiza los mismos estándares de seguridad en todo el sector. Finalmente favor de confirmar, la viabilidad de cumplir con estándares cuya ámbito de aplicación es extraterritorial y fuera de legislación. El acceso a dicha información pudiera no estar garantizado o cambiar de tiempo en tiempo sin cumplirse con los requisitos formales del acto administrativo. "Artículo 34.- Las instituciones de fondos de pago electrónico deberán contratar a una persona moral, con personal que cuente con capacidad técnica comprobable mediante certificaciones de la industria en la materia, para que, al menos, cada dos años, se realicen pruebas de penetración en los diferentes sistemas y aplicativos de la Infraestructura Tecnológica con la finalidad de detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga o pueda poner en riesgo la información y patrimonio de los Clientes y de la propia institución de fondos de pago electrónico. La institución de fondos de pago electrónico deberá enviar al Banco de México y a la CNBV, dentro de los veinte días hábiles a partir de la fecha en que hayan finalizado las pruebas correspondientes, un informe con las conclusiones de estas, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV. El informe deberá firmarse digitalmente por el director general o, en su caso, el administrador único, y ser cifrado conforme a lo dispuesto en el artículo anterior. En el caso de que, de las pruebas de penetración realizadas, se deriven observaciones de alta o muy alta criticidad, la institución de fondos de pago electrónico de que se trate deberá presentar al Banco de México y a la CNBV, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV, un plan de remediación documentado para subsanar dichas observaciones, en un plazo no mayor a 20 días hábiles de la finalización de las pruebas de penetración. El plan de remediación deberá firmarse digitalmente por el director general o, en su caso, el administrador único, y ser cifrado conforme lo dispuesto en el artículo anterior. La CNBV y el Banco de México podrán efectuar observaciones, en cualquier tiempo, a dicho plan de remediación." Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. "Artículo 36.- El oficial en jefe de seguridad de la información de la institución de fondos de pago electrónico deberá, al menos: I. Participar en la definición, verificar y ser responsable de la implementación y continuo cumplimiento de las políticas y procedimientos de seguridad de la información señalados en las presentes Disposiciones. II. Elaborar el Plan Director de Seguridad, el cual deberá contener, por cada proyecto que se defina, nombre del proyecto, objetivo, alcance, fechas de inicio y fin, áreas involucradas y la inversión proyectada. El plan a que se refiere la presente fracción deberá revisarse y actualizarse, al menos, anualmente. III. Verificar, al menos anualmente, la definición de los perfiles de acceso a la Infraestructura Tecnológica de la institución de fondos de pago electrónico, ya sea propia o provista por terceros, de acuerdo con los perfiles de puestos (segregación funcional), incluyendo aquellos con altos privilegios, tales como administración de sistemas operativos, bases de datos y aplicativos. IV. Asegurarse al menos anualmente, o antes en caso de presentarse un Incidente de Seguridad de la Información, de la correcta asignación de los perfiles de acceso a los Usuarios de la Infraestructura Tecnológica. La función a que se refiere esta fracción, podrá realizarse mediante muestras representativas y aleatorias. Asimismo, será responsable de la autorización temporal de los accesos por excepción, tales como los de Usuarios de la Infraestructura Tecnológica de ambientes de desarrollo con accesos a ambientes de producción, accesos por eventos de contingencia o cualquier otro acceso privilegiado que no corresponda con la política determinada por la institución de fondos de pago electrónico. Igualmente, deberá contar con un registro que contenga el nombre del Usuario de la Infraestructura Tecnológica, aplicación asociada, ambiente, motivo de la excepción y fecha de inicio y de fin de la asignación. V. Aprobar y verificar el cumplimiento de las medidas que se hayan adoptado para subsanar deficiencias detectadas con motivo de las funciones a que se refieren las fracciones III y IV de este artículo, así como de los hallazgos, tanto de auditoría interna como externa relacionada con la Infraestructura Tecnológica y de seguridad de la información. VI. Gestionar las alertas de seguridad de la información comunicadas por la CNBV u otros medios, así como los Incidentes de Seguridad de la Información, considerando las etapas de identificación, protección, detección, respuesta y recuperación. VII. Presidir en la institución de fondos de pago electrónico, el equipo para la detección y respuesta de Incidentes de Seguridad de la Información. VIII. Informar al Órgano de Administración o, en caso de contar con un comité de auditoría y un comité de riesgos a estos, en la sesión inmediata siguiente, según resulte aplicable, a la verificación del Incidente de Seguridad de la Información, respecto de las acciones tomadas y del seguimiento a las medidas para prevenir o evitar que se presenten nuevamente los mencionados incidentes. IX. Verificar que se implementen programas anuales de capacitación dirigidos a todo el personal, así como de concientización en materia de seguridad de la información hacia los Clientes incluyendo, en su caso, a terceros que les presten servicios, en los que se contemplen, entre otros aspectos, los roles y responsabilidades que los Usuarios de Infraestructura Tecnológica tengan al respecto. X. Presentar mensualmente al director general o, en su caso, al administrador único, el informe de gestión en materia de seguridad de la información. Este reporte deberá efectuarse al comité de auditoría y al comité de riesgos o, en ausencia de estos, al consejo de administración de la institución de fondos de pago electrónico. XI. Considerar, al menos, los indicadores de riesgo en materia de seguridad de la información establecidos en el Anexo 1 de estas Disposiciones, e informar del resultado de la evaluación de dichos indicadores al Órgano de Administración, y en su caso, al comité de auditoría o comité de riesgos. XII. Responder a los requerimientos formulados por las autoridades y al interior de la institución de fondos de pago electrónico en materia de seguridad de la información. Las instituciones de fondos de pago electrónico deberán asegurarse de que el oficial en jefe de seguridad de la información tenga a su disposición los registros de las personas que cuenten con acceso a la información relacionada con las operaciones en las que interviene la propia institución de fondos de pago electrónico, incluyendo aquellas que se encuentren en el extranjero y de los Usuarios de la Infraestructura Tecnológica que cuenten con altos privilegios, tales como administración de sistemas operativos, bases de datos y aplicativos, así como de sus prestadores de servicios. Las instituciones de fondos de pago electrónico que pertenezcan a un grupo financiero sujeto a la supervisión de la CNBV, o bien, que formen parte de Consorcios o Grupos Empresariales que cuenten con una entidad financiera sujeta a la supervisión de la propia CNBV, podrán asignar las funciones del oficial en jefe de seguridad de la información, a la persona que desempeñe dichas actividades en la entidad financiera supervisada por la CNBV, siempre y cuando dicha persona cumpla con lo establecido en el artículo 35 de estas Disposiciones." Presentar cada vez que se lleve a cabo el Comité de Riesgos (que es de manera trimestral) los reportes del Oficial de Seguridad, en lugar de hacerlo de manera mensual y tener la facultad de tener eventos extraordinarios ya que siempre el Oficial de Seguridad tiene la facultad de presentar reportes al DG y el DG tiene la facultad de presentarlo. En este sentido, la mayoría de los comités no están obligados a celebrar sesión en el periodo de tiempo que determina el artículo. Por lo anterior, es importante flexibilizar la periodicidad con la que se deberá de elaborar y presentar este reporte al director general, o bien, cuando hubieren cambios significativos en el mismo. "Artículo 43.- Las instituciones de fondos de pago electrónico deberán hacer del conocimiento del Banco de México y la CNBV las Contingencias Operativas que se presenten en cualquiera de los canales de atención al público o al interior de la propia institución de fondos de pago electrónico, mediante correo electrónico que se envíe a las cuentas ifpe@banxico.org.mx, contingencias@cnbv.gob.mx y supervisionfintech@cnbv.gob.mx o a través de otros medios que el propio Banco de México o la propia CNBV dispongan, debiéndose generar un acuse de recibo electrónico . Lo anterior, siempre que estas interrupciones que tengan una duración de, al menos, 30 minutos. La notificación señalada en el párrafo anterior, deberá efectuarse dentro de los 60 minutos siguientes a que la Contingencia Operativa de que se trate haya tenido lugar, debiendo incluir la fecha y hora de inicio de la Contingencia Operativa; la indicación de si continúa o, en su caso, si ha concluido y su duración; los procesos, sistemas y canales afectados; una descripción del evento que se haya registrado, y una evaluación inicial del impacto o gravedad. Asimismo, en caso de que se presente una Contingencia Operativa la institución de fondos de pago electrónico de que se trate deberá realizar una investigación inmediata sobre las causas que generaron el evento, y enviar los resultados de la investigación al Banco de México y a la CNBV en un plazo no mayor a cinco días hábiles conforme a las especificaciones del Anexo 5 de las presentes Disposiciones. Por su parte, en caso de que, producto de una Contingencia Operativa, se afecten uno o a más Canales de Instrucción, la institución de fondos de pago electrónico de que se trate deberá hacer de conocimiento a sus Clientes o usuarios del medio de disposición, en un plazo no mayor a cinco segundos de la intermitencia o imposibilidad del uso de estos a través de los medios de notificación pactados con ellos y deberá mantener evidencia de ello. Adicionalmente, la institución de fondos de pago electrónico deberá poner a disposición de sus Clientes o usuarios del medio de disposición, la información relativa a la Contingencia Operativa de que se trate, incluyendo, al menos, la naturaleza, fecha y hora de inicio del evento, duración y, en caso de existir, delimitar y señalar las afectaciones individuales a cada Cliente o usuario del medio de disposición, en un plazo máximo de veinticuatro horas de la materialización del evento. En su caso el director general o administrador único será el responsable de llevar a cabo lo previsto en el presente artículo." Se sugiere ampliar el plazo indicado para notificar a los Clientes de la intermitencia o imposibilidad a que hace referencia este artículo, ya que el mismo es extremadamente corto, comparado con instituciones financieras reguladas. Lo anterior resulta de mayor relevancia tomando en cuenta lo amplio de la definición de ¨Contingencia Operativa¨. Se sugiere que se permita que cada entidad determine conforme a sus procesos internos aquellas situaciones que se consideran como contingencia operativa y en consecuencia ameritan hacer el aviso a las autoridades una vez que sea atendido. Por otra parte, sugerimos que se utilice un canal de comunicación distinto al correo electrónico que garantice la confidencialidad de la información dada la naturaleza sensible de la misma. "Artículo 44.- Las instituciones de fondos de pago electrónico requerirán autorización del Banco de México y la CNBV, para contratar la prestación de servicios con cualquier tercero que cumplan con las siguientes características: ... III. Funja como el proveedor primario de aquellos servicios cuya interrupción, parcial o permanente, imposibilite a la institución de fondos de pago electrónico la emisión, administración, redención o transmisión de fondos de pago electrónico, conforme a los actos a los que refieren las fracciones II, III, IV y V del artículo 22 de la Ley." En términos generales, se considera que es necesario definir claramente el alcance de los diferentes tipos de proveedores de las instituciones de fondos de pago electrónico. "Artículo 45.- Las instituciones de fondos de pago electrónico deberán presentar al Banco de México y a la CNBV un aviso con veinte días hábiles de antelación a la contratación de terceros, cuando dicho tercero: ... El Banco de México y la CNBV, durante el plazo de veinte días hábiles anteriormente referido, podrán requerir a la institución de fondos de pago electrónico de que se trate que la prestación de dicho servicio no se realice a través del tercero señalado en el aviso a que se refiere el presente artículo, cuando cualquiera de las dos Autoridades considere que, por los términos y condiciones de contratación del servicio, las políticas y procedimientos de control interno, o por la infraestructura tecnológica o de comunicaciones materia del servicio que utilice dicho tercero, el mismo no estará en posibilidad de cumplir con las disposiciones aplicables a la propia institución de fondos de pago electrónico y, en su caso, pueda verse afectada la estabilidad financiera o continuidad operativa de esta última, a juicio del Banco de México o la CNBV." Por otra parte, dado que los servicios motivo de aviso son de menor criticidad se sugiere que no estén sujetos al mismo nivel de información y detalle previsto en el artículo 49 del Anteproyecto. De no modificarse, como se mencionó anteriormente se haría muy complejo el proceso de contratación y relación con terceros. Adicionalmente, se solicita mayor claridad en los supuestos que requieren aviso previstos en el Art. 45 respecto aquellos que requieren autorización. En particular no es clara la diferencia entre la fracción I que requiere la misma información que el supuesto de autorización previsto en el Art. 44. "Artículo 46.- Las instituciones de fondos de pago electrónico podrán celebrar contratos de comisión mercantil con terceros que actúen frente al público en general a nombre y por cuenta propia de las respectivas instituciones de fondos de pago electrónico para la realización de las siguientes operaciones: I. Retiros de efectivo efectuados por el propio Cliente titular de la cuenta respectiva. II. Recepción de efectivo para abono en cuentas propias o de terceros. III. Consultas de saldos y movimientos de cuentas. IV. Poner en circulación instrumentos para la disposición de fondos de pago electrónico. V. Apertura de cuentas de fondos de pago electrónico, observando en todo momento lo establecido en las disposiciones de carácter general a que se refiere el artículo 58 de la Ley, emitidas por la Secretaría, o las que las sustituyan. VI. Transferencias con cargo a cuentas de fondos de pago electrónico, incluidos los pagos de servicios. Las operaciones previstas en las fracciones anteriores deberán efectuarse en moneda nacional y a nombre y por cuenta propia de la institución de fondos de pago electrónico. En caso de que la institución de fondos de pago electrónico pretenda realizar a través de Comisionistas operaciones distintas a las señaladas, deberá solicitar autorización a la CNBV, previo a su realización. Las instituciones de fondos de pago electrónico, en la celebración de los contratos a que se refiere este artículo, deberán cuidar en todo momento que los terceros que les proporcionen los servicios guarden la debida confidencialidad de la información referente a las Operaciones celebradas con sus Clientes, así como la relativa a estos últimos, en caso de tener acceso a ella. El director general o en su caso el administrador único de la institución de fondos de pago electrónico será responsable de aprobar la contratación de Comisionistas." No es claro si este artículo es restrictivo en el tipo de contratos a celebrar o si existe opción a celebrar otro tipo como de comisión o contrato análogo. En todo caso, definir si las “operaciones” previstas en este artículo difieren de las “Operaciones” descritas en el artículo 2. En todo caso, incluir una definición de dicho concepto. Consideramos que la contratación de operaciones del día a día como son las operaciones mencionadas en dichos apartados debe ser suscrita y celebrada conforme a lo que establezca el DG y/o Consejo de Administración y a través de las personas que tengan facultades suficientes para hacerlo. "Artículo 48.- Las instituciones de fondos de pago electrónico, en la realización de las Operaciones a través de comisionistas a que se refiere el artículo 46 anterior, deberán sujetarse a los límites siguientes: I. Tratándose de las Operaciones a que se refiere la fracción I del artículo 46 anterior, el límite por comisionista, no podrá exceder de un monto diario equivalente en moneda nacional a 1,500 UDIs, por cuenta. II. Tratándose de las Operaciones a que se refiere la fracción II del artículo 46 anterior, el límite por comisionista, no podrán exceder de un monto diario equivalente en moneda nacional a 4,000 UDIs, por cuenta." Lo dispuesto por este artículo no es congruente con lo dispuesto por las Disposiciones de Carácter General a que se refiere el artículo 56 de la Ley para Regular las Instituciones de Tecnología Financiera. Adicionalmente se contradicen con los límites previstos en la CUITF art 9. "Artículo 49.- Las instituciones de fondos de pago electrónico deberán acompañar a la solicitud de autorización a que se refiere el artículo 44 o, en su caso, al aviso a que se refiere la fracción I del artículo 45 de las presentes Disposiciones, lo siguiente: I. La descripción detallada y diagramas de flujo de los procesos de los servicios a contratar, considerando las actividades que se pretendan realizar por la institución de fondos de pago electrónico, así como por el prestador del servicio; las áreas de la propia institución de fondos de pago electrónico y del tercero que participan en el flujo del servicio; nombre, descripción y funcionalidad de los sistemas que, en su caso, serán contratados para la prestación del servicio, o los sistemas de la institución de fondos de pago electrónico que serán utilizados por el proveedor respectivo. II. El proyecto de contrato de prestación de servicios, en el que deberá señalarse la fecha contemplada de su celebración, los derechos y obligaciones de la institución de fondos de pago electrónico y del tercero, incluyendo la determinación sobre la propiedad intelectual respecto de los diseños, desarrollos o procesos utilizados para la prestación del servicio. Dicho proyecto de contrato deberá ser presentado en idioma español. Asimismo, deberá quedar constancia, dentro del contrato, de la aceptación expresa por parte del tercero de las obligaciones siguientes: a) Apegarse a lo previsto en el artículo 54 de la Ley. b) Entregar en el desarrollo de la auditoría y a solicitud de la institución de fondos de pago electrónico, al Tercero Independiente de la propia institución de fondos de pago electrónico, así como al Banco de México y a la CNBV, los libros, sistemas, registros, manuales y documentos en general, relacionados con la prestación del servicio de que se trate. Asimismo, permitir al Tercero Independiente o al personal del Banco de México o de la CNBV el acceso a sus oficinas e instalaciones en general, relacionadas con la prestación del servicio en cuestión. c) Informar a la institución de fondos de pago electrónico respecto de cualquier modificación a su objeto social o cualquier otro cambio que pudiera afectar la prestación del servicio objeto de la contratación, con por lo menos treinta días de anticipación a que suceda dicha modificación o cambio. d) Guardar confidencialidad respecto de la información que haya sido recibida, transmitida, procesada o almacenada durante la prestación de los servicios. Asimismo, aceptar que dicha información solamente podrá usarse y explotarse para los fines pactados en la prestación del servicio. e) En caso de que el tercero realice la subcontratación para la prestación parcial o total de alguno de los servicios prestados a las instituciones de fondos de pago electrónico, deberá notificar a la propia institución respecto de dicha subcontratación; asimismo, establecerá los mecanismos para que el subcontratado cumpla con las obligaciones pactadas y proporcione la información para los efectos del artículo 51 de las presentes Disposiciones. f) Cumplir con los términos, condiciones y procesos para que el tercero garantice a la institución de fondos de pago electrónico la transferencia, devolución y eliminación segura de la información sujeta al servicio contratado cuando deje de prestarlo. g) Mantener registros de auditoría íntegros que incluyan la información detallada de los accesos o intentos de acceso y la operación o actividad efectuadas por los Usuarios de la Infraestructura Tecnológica. Dichos registros deberán estar a disposición del personal autorizado de la institución de fondos de pago electrónico. h) Contar con controles de acceso a la información de acuerdo con los niveles de acceso y perfiles determinados por la institución de fondos de pago electrónico. i) Permitir a la institución de fondos de pago electrónico realizar las revisiones de seguridad que se señalan en los artículos 21, 33 y 34 de las presentes Disposiciones a los servicios contratados o bien, proporcionar evidencia de la realización de estas revisiones. III. La siguiente documentación respecto de la Infraestructura Tecnológica: a) La descripción de los enlaces de comunicación utilizados por la institución de fondos de pago electrónico para conectarse con el proveedor de servicios, que incluya el nombre del proveedor, el ancho de banda y el tipo de servicio prestado, entre otros. b) Un diagrama de telecomunicaciones en donde se muestre la conexión existente entre cada uno de los participantes en la prestación del servicio (proveedores, centros de datos, institución de fondos de pago electrónico, entre otros), incluyendo los esquemas de redundancia. c) La dirección completa del lugar en donde se realizarán cada uno de los servicios, así como de los centros de datos, primario y secundario, en donde se almacenará y procesará la información. En caso de que el lugar señalado se encuentre en territorio nacional debe incluirse, por lo menos, calle, número exterior e interior, colonia, alcaldía o municipio, código postal y entidad federativa. Tratándose de un sitio localizado en el extranjero deberán incluirse datos similares que permitan ubicar con certeza el lugar señalado. Tratándose de servicios de Computo en la Nube solamente deberán proporcionar lo señalado en el artículo 50 de las presentes Disposiciones. d) En su caso, el esquema de interrelación de aplicaciones o sistemas objeto de la contratación, incluyendo los sistemas propios de la institución de fondos de pago electrónico. e) Los mecanismos de continuidad del servicio contratado. f) Para los casos en que el tercero mantenga Información Personal e Información Sensible, así como imágenes de identificaciones oficiales del Cliente fuera del territorio nacional, la institución de fondos de pago electrónico deberá acreditar que dicha información se encuentre cifrada y que los mecanismos y procedimientos para descifrarla estén en posesión del oficial en jefe de seguridad de la información quien será responsable, en caso de pérdida, de la ejecución de los referidos mecanismos y procedimientos. IV. Los mecanismos que permitirán a la institución de fondos de pago electrónico, mantener en sus instalaciones los registros detallados de todas las Operaciones que se realicen, así como de sus registros contables de forma que se asegure la continuidad operativa en todo momento. Dichos registros deberán mantenerse en un formato que permita su consulta y uso, con independencia de que el servicio contratado con el tercero no se encuentre disponible. V. Cuando el tercero tenga privilegios de acceso a las imágenes de identificaciones oficiales o información biométrica de los Clientes, presentar evidencia de los controles que mantendrá para garantizar la confidencialidad, integridad y disponibilidad de esta información. VI. Descripción de los mecanismos para vigilar el desempeño del tercero contratado y el cumplimiento de sus obligaciones contractuales, incluyendo al menos, las previstas en las presentes Disposiciones. VII. Planes para evaluar y reportar al Órgano de Administración o, en su caso, al comité de auditoría de la institución de fondos de pago electrónico, según la importancia del servicio contratado, el desempeño del tercero y el cumplimiento de la regulación aplicable relacionada con dicho servicio. VIII. Evidencia que permita verificar que los terceros tengan e implementen políticas de protección de datos personales y confidencialidad de la información que permitan a la institución de fondos de pago electrónico cumplir con las disposiciones legales que la rigen en la materia. Tratándose de servicios que se procesen, proporcionen o ejecuten total o parcialmente fuera de territorio nacional, las instituciones de fondos de pago electrónico deberán acompañar la documentación que acredite que los terceros residen en países cuyo derecho interno proporciona protección a los datos de las personas, resguardando su debida confidencialidad, o bien, que dichos países mantengan suscritos con México acuerdos internacionales en dicha materia o de intercambio de información entre los organismos supervisores, tratándose de Entidades Financieras. Adicionalmente, las instituciones de fondos de pago electrónico deberán: a) Contar con la aprobación del Órgano de Administración respecto a que no habrá impacto en la continuidad de la operación de la institución de fondos de pago electrónico, con motivo de la distancia geográfica y, en su caso, del lenguaje que se utilizará en la prestación del servicio. b) Contar con esquemas de soporte técnico que permitan solucionar problemas e incidencias, con independencia de las diferencias que, en su caso, existan en husos horarios y días hábiles. Adicionalmente, en el evento de que alguna autoridad del país de origen del tercero a que se refiere esta fracción le requiera información relacionada con los servicios que le presta a la institución de fondos de pago electrónico, el tercero deberá, tan pronto como sea jurídicamente posible, informar de ello a la referida institución, así como proporcionarle copia de la información que haya entregado a dicha autoridad. En este caso, la institución de fondos de pago electrónico deberá informar mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV de tal situación inmediatamente después de que tenga conocimiento de ello, así como proporcionarle copia de la información referida. El Banco de México y la CNBV contarán con un plazo de veinticinco días hábiles para resolver respecto de la solicitud de autorización a que se refiere el presente artículo; transcurrido este plazo sin pronunciamiento alguno, se entenderá la resolución en sentido positivo. Cualquier requerimiento de información adicional que realice el Banco de México o la CNBV interrumpirá el plazo señalado en este párrafo." Se sugiere establecer la diferencia entre el aviso y la autorización, toda vez que en los dos casos Banxico y la CNBV podrán manifestar su anuencia respecto a la contratación del tercero y se requiere presentar la misma información. . Respecto la copia local, fracción IV, se estima que existen mecanismo de continuidad de negocios elaborados conforme a las propias normas que son confiables y suficientes utilizando mecanismos de resguardo basado en servidores remotos por lo que no queda claro la utilidad de tener un esquema distinto para este supuesto. Es muy oneroso y rompe la operatividad ordinaria de las IFPE. "Artículo 50.- La institución de fondos de pago electrónico que se ubique en los supuestos previstos en este artículo y contrate con algún tercero la prestación de servicios de Cómputo en la Nube para realizar procesos cuya interrupción, parcial o permanente, imposibiliten a la institución de fondos de pago electrónico la emisión, administración, redención o transmisión de fondos de pago electrónico, conforme a los actos a los que refieren las fracciones II, III, IV y V del artículo 22 de la Ley, deberá mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, los actos a los que se refiere el presente artículo en territorio nacional, o mantener dicha capacidad a través de un prestador de servicios cuya persona o Grupo de Personas que ejerzan el Control, sean distintos al tercero referido y que esté constituidos y sujetos a jurisdicciones nacionales distintas a aquella en que se haya constituido y quede sujeto dicho tercero. Únicamente quedarán obligadas a observar lo dispuesto en el presente artículos las instituciones de fondos de pago electrónico que se ubiquen en alguno se los supuestos siguientes: I. Durante un periodo de doce meses calendario consecutivos realicen más de 1.2 millones de Transferencias, o envíen o reciban Transferencias por un monto total superior a 3.6 mil millones de UDIS, o bien, II. En cualquier momento hayan contado con más de 100 mil cuentas de fondos de pago electrónico que, durante un periodo de doce meses calendario consecutivos, hayan tenido en cualquier momento saldo positivo o que hayan enviado al menos una Transferencia en dicho periodo, o hayan contado con un saldo total en las Cuentas de Fondos de Pago Electrónico que lleven a sus Clientes superior a 300 millones de UDIS. Las instituciones de fondos de pago electrónico tendrán un plazo de 180 días naturales contados a partir del primer día del mes calendario inmediato posterior a aquel en el que se cumpla alguna de las características establecidas en las fracciones I y II del presente artículo para dar cumplimiento a lo establecido en este artículo." Considerar el nivel de riesgo de tener un proveedor nacional que no cuente con la infraestructura tecnológica que se refiere el artículo anterior y las disposiciones aplicables contra un proveedor del exterior que si tenga la infraestructura tecnológica y más aún cuando el artículo 26 señala lo siguiente: contar con las mejores prácticas y estándares internacionales de seguridad informática en esta materia, emitidas por el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio del Gobierno (National Institute of Standards and Technology, NIST), el Instituto SANS, y la Fundación OWASP de los Estados Unidos de América Por lo que se refiere a “mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, para la emisión, administración, redención o transmisión de fondos de pago electrónico en territorio nacional”, este “golden copy” implicaría desarrollo importante, cambios en la infraestructura, operación y continuidad de negocio, que requerirían un plazo más amplio del que ha quedado señalado en el último párrafo (180 días). TRANSITORIOS PRIMERO.- Las presentes Disposiciones entrarán en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación. SEGUNDO.- Las instituciones de fondos de pago electrónico contarán con un plazo de 12 meses, posteriores a la entrada en vigor de este instrumento en el Diario Oficial de la Federación, para dar cumplimiento a lo establecido en los artículos 16 y 17. TERCERO.- Las personas a que alude la Disposición Octava Transitoria de la Ley para Regular las Instituciones de Tecnología Financiera y que hayan obtenido su autorización para operar como institución de fondos de pago electrónico, tendrán un plazo no mayor a 6 meses contados a partir de la fecha de entrada en vigor de las presentes Disposiciones, para realizar el análisis a que se refiere el artículo 21 y la evaluación a que se refiere el artículo 33 de las presentes Disposiciones, generar un plan de remediación documentado para atender lo referente a cada artículo, así como para mostrar evidencia de las correcciones realizadas conforme a dicho plan y presentarlo al Banco de México y a la Comisión Nacional Bancaria y de Valores. Derivado de la publicación de las disposiciones en CONAMER y en particular cuando se publiquen las mismas, existen diversas entidades que ya operan bajo el 8 transitorio y que están muy cerca de obtener su autorización o más aún existen entidades que ya fueron autorizadas para operar como Instituciones de Fondos de Pago Electrónico y por lo tanto, el plazo establecido para la entrada en vigor de las disposiciones podría perjudicar gravemente a cualquier entidad que reciba autorización para operar como institución de fondos de pago electrónico. Se solicita que se extienda el plazo para la entrada en vigor de las disposiciones, y se propone que entren en vigor en un plazo de 180 días a partir de su publicación con la finalidad de permitir que aquellas ITF’s que lleguen a estar autorizadas a la fecha de publicación de las presentes, tengan un periodo de adopción y cumplimiento.