(Los siguientes comentarios se emiten en nombre de la asociación Fintech México) -Se sugiere revisar los tiempos de notificación, ya que son cortos o en su caso entender el porqué de los tres segundos. Los tiempos para instituciones de banca múltiple son mayores (treinta segundos) y al ser una operación similar, seguir la misma lógica tecnológica. Es importante mencionar que, si bien la institución puede ejecutar los procesos necesarios para notificar al cliente, la institución no podrá asegurar que, en todas las ocasiones, el cliente sea notificado en el tiempo dispuesto en el Artículo 4. Lo anterior se debe a que podrían existir diversos factores que impidan la recepción del mensaje electrónico por parte del usuario. Consideramos que las disposiciones deberían contemplar que la entidad deberá hacer la emisión de la comunicación en el tiempo determinado, pero contemplando que la recepción del mensaje dependerá de distintas condiciones. De igual forma, es importante que se tome en consideración que el cliente deberá de gozar con la libertad de desactivar las notificaciones y comunicación por parte de la institución. La Institución no debería ser obligada a cumplir con el artículo anterior...- Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. Usar herramientas de Suptech. Se sugiere establecer plazos para proporcionar certeza en cuanto a respuestas y, en su caso, afirmativa ficta. -Artículo 11.- Las instituciones de fondos de pago electrónico deberán prever lo necesario para que, una vez autenticado el Cliente en el Canal de Instrucción, la Sesión no pueda ser utilizada por un tercero. Para efectos de lo anterior, las instituciones de fondos de pago electrónico establecerán, al menos, los mecanismos siguientes: … - Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. Así como, establecer plazos para proporcionar certeza en cuanto a respuestas y, en su caso, afirmativa ficta. -Artículo 17- Las instituciones de fondos de pago electrónico deberán contar con procedimientos y mecanismos que permitan estructurar la Información Personal y la Información Sensible almacenada en la Infraestructura Tecnológica, de tal manera que los datos personales de los Clientes no puedan ser relacionados con la información relativa a sus Operaciones, incluyendo, entre otros, los montos, así como los nombres o denominaciones de los receptores o emisores de los pagos realizados por los Clientes.- Es importante especificar cuál es la finalidad de este requerimiento. La aplicación del algoritmo de consulta mencionado en el Artículo tendría un impacto negativo significativo en el desempeño y rendimiento de las plataformas. Lo anterior, tanto en el desempeño de la infraestructura tecnológica como en la experiencia del usuario. En la práctica es una relación que se deberá de hacer constantemente para una cantidad grande de usuarios y no existe motivo para que esta separación sea necesaria. Adicionalmente, este tipo mecanismos no se les solicita a ninguna otra institución o entidad financiera. -Artículo 24.- Las instituciones de fondos de pago electrónico deberán contar con procedimientos y mecanismos de control de acceso a la Infraestructura Tecnológica que sean robustos y seguros, para lo cual deberán cumplir, al menos, con los requisitos siguientes: ... -Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. Así como, establecer plazos para proporcionar certeza en cuanto a respuestas y, en su caso, afirmativa ficta. -Artículo 26.- Las instituciones de fondos de pago electrónico deberán establecer y documentar políticas y mecanismos para que los Canales de Instrucción solo utilicen aquellos protocolos de comunicación que garanticen la confidencialidad de la información en la comunicación punto a punto, de conformidad con las mejores prácticas y estándares internacionales de seguridad informática en esta materia, emitidas por el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio del Gobierno -Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. Así como, establecer plazos para proporcionar certeza en cuanto a respuestas y, en su caso, afirmativa ficta. Se considera que idealmente los reguladores pudieran definir clara y explícitamente los requisitos mínimos a cumplir por las instituciones con base en los lineamientos que ellos mismos mencionan. Lo anterior, debido a que el criterio actual es muy amplio y no es claro sólo el estándar mínimo requerido, ya que una institución podría cumplir parcialmente con las prácticas y estándares internacionales que mencionan, lo cual no garantiza los mismos estándares de seguridad en todo el sector. Finalmente favor de confirmar, la viabilidad de cumplir con estándares cuya ámbito de aplicación es extraterritorial y fuera de legislación. El acceso a dicha información pudiera no estar garantizado o cambiar de tiempo en tiempo sin cumplirse con los requisitos formales del acto administrativo. -Artículo 33.- Las instituciones de fondos de pago electrónico deberán evaluar o auditar, previo al inicio de sus operaciones y al menos cada dos años, la seguridad informática de sus Infraestructuras Tecnológicas. Además, entre los trabajos de dicha evaluación o auditoría en los plazos referidos, las instituciones de fondos de pago electrónico deberán presentar un reporte al Órgano de Administración, así como al Banco de México y a la CNBV, que...-Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. -Artículo 34.- Las instituciones de fondos de pago electrónico deberán contratar a una persona moral, con personal que cuente con capacidad técnica comprobable mediante certificaciones de la industria en la materia, para que, al menos, cada dos años, se realicen pruebas de penetración en los diferentes sistemas y aplicativos de la Infraestructura Tecnológica con la finalidad de detectar errores, vulnerabilidades, funcionalidad...-Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. Artículo 36.- El oficial en jefe de seguridad de la información de la institución de fondos de pago electrónico deberá, al menos:...- Presentar cada vez que se lleve a cabo el Comité de Riesgos (que es de manera trimestral) los reportes del Oficial de Seguridad, en lugar de hacerlo de manera mensual y tener la facultad de tener eventos extraordinarios ya que siempre el Oficial de Seguridad tiene la facultad de presentar reportes al DG y el DG tiene la facultad de presentarlo. En este sentido, la mayoría de los comités no están obligados a celebrar sesión en el periodo de tiempo que determina el artículo. Por lo anterior, es importante flexibilizar la periodicidad con la que se deberá de elaborar y presentar este reporte al director general, o bien, cuando hubieren cambios significativos en el mismo. -Artículo 43.- Las instituciones de fondos de pago electrónico deberán hacer del conocimiento del Banco de México y la CNBV las Contingencias Operativas que se presenten en cualquiera de los canales de atención al público o al interior de la propia institución de fondos de pago electrónico, mediante correo electrónico...- Se sugiere ampliar el plazo indicado para notificar a los Clientes de la intermitencia o imposibilidad a que hace referencia este artículo, ya que el mismo es extremadamente corto, comparado con instituciones financieras reguladas. Lo anterior resulta de mayor relevancia tomando en cuenta lo amplio de la definición de ¨Contingencia Operativa¨. Se sugiere que se permita que cada entidad determine conforme a sus procesos internos aquellas situaciones que se consideran como contingencia operativa y en consecuencia ameritan hacer el aviso a las autoridades una vez que sea atendido. Por otra parte, sugerimos que se utilice un canal de comunicación distinto al correo electrónico que garantice la confidencialidad de la información dada la naturaleza sensible de la misma. -Artículo 44.- Las instituciones de fondos de pago electrónico requerirán autorización del Banco de México y la CNBV, para contratar la prestación de servicios con cualquier tercero que cumplan con las siguientes características...- Aclarar el alcance de “proveedor primario” -Artículo 45.- Las instituciones de fondos de pago electrónico deberán presentar al Banco de México y a la CNBV un aviso con veinte días hábiles de antelación a la contratación de terceros, cuando dicho tercero...-Aclarar, que sucederá con los contratos que ya tienen celebrados con terceros las personas que venían operando bajo la Disposición Octava Transitoria y, en su caso, establecer un transitorio, para cumplir con lo establecido en el presente artículo. Aclarar el alcance de “proveedor secundario o de respaldo” Se sugiere establecer afirmativa ficta transcurrido el plazo de 20 días hábiles Por otra parte, dado que los servicios motivo de aviso son de menor criticidad se sugiere que no estén sujetos al mismo nivel de información y detalle previsto en el artículo 49 del Anteproyecto. De no modificarse, como se mencionó anteriormente se haría muy complejo el proceso de contratación y relación con terceros. Adicionalmente, se solicita mayor claridad en los supuestos que requieren aviso previstos en el Art. 45 respecto aquellos que requieren autorización. En particular no es clara la diferencia entre la fracción I que requiere la misma información que el supuesto de autorización previsto en el Art. 44. -Artículo 46.- Las instituciones de fondos de pago electrónico podrán celebrar contratos de comisión mercantil con terceros que actúen frente al público en general a nombre y por cuenta propia de las respectivas instituciones de fondos de pago electrónico para la realización de las siguientes operaciones...- No es claro si este artículo es restrictivo en el tipo de contratos a celebrar o si existe opción a celebrar otro tipo como de comisión o contrato análogo. En todo caso, definir si las “operaciones” previstas en este artículo difieren de las “Operaciones” descritas en el artículo 2. En todo caso, incluir una definición de dicho concepto. Consideramos que la contratación de operaciones del día a día como son las operaciones mencionadas en dichos apartados debe ser suscrita y celebrada conforme a lo que establezca el DG y/o Consejo de Administración y a través de las personas que tengan facultades suficientes para hacerlo. -Artículo 47.- Las instituciones de fondos de pago electrónico que pretendan celebrar los contratos de comisión mercantil a que se refiere el artículo anterior, deberán solicitar autorización a la CNBV. Dicha autorización deberá contener lo siguiente...- Se sugiere establecer afirmativa ficta para el plazo de 20 días hábiles -Artículo 48.- Las instituciones de fondos de pago electrónico, en la realización de las Operaciones a través de comisionistas a que se refiere el artículo 46 anterior, deberán sujetarse a los límites siguientes...- Lo dispuesto por este artículo no es congruente con lo dispuesto por las Disposiciones de Carácter General a que se refiere el artículo 56 de la Ley para Regular las Instituciones de Tecnología Financiera. Adicionalmente se contradicen con los límites previstos en la CUITF art 9. -Artículo 49.- Las instituciones de fondos de pago electrónico deberán acompañar a la solicitud de autorización a que se refiere el artículo 44 o, en su caso, al aviso a que se refiere la fracción I del artículo 45 de las presentes Disposiciones, lo siguiente...-Se sugiere establecer la diferencia entre el aviso y la autorización, toda vez que en los dos casos Banxico y la CNBV podrán manifestar su anuencia respecto a la contratación del tercero y se requiere presentar la misma información. . Se sugiere considerar para las Instituciones de Fondos de Pago Electrónico, los mismos requisitos que fueron considerados para la contratación con terceros en el caso de las Instituciones de Financiamiento Colectivo. Respecto la copia local, fracción IV, se estima que existen mecanismo de continuidad de negocios elaborados conforme a las propias normas que son confiables y suficientes utilizando mecanismos de resguardo basado en servidores remotos por lo que no queda claro la utilidad de tener un esquema distinto para este supuesto. Es muy oneroso y rompe la operatividad ordinaria de las IFPE. -Artículo 50.- La institución de fondos de pago electrónico que se ubique en los supuestos previstos en este artículo y contrate con algún tercero la prestación de servicios de Cómputo en la Nube para realizar procesos cuya interrupción, parcial o permanente, imposibiliten a la institución de fondos de pago electrónico la emisión, administración, redención o transmisión de fondos de pago electrónico, conforme a los actos a los que refieren las fracciones II, III, IV y V del artículo 22 de la Ley, deberá mantener la capacidad de cómputo...-Revisar las implicaciones de tener servicios de cómputo en la nube en otra jurisdicción y con un prestador de servicios distinto. Se propone establecer uno de los dos parámetros, es decir, que sean con un proveedor distinto o en una jurisdicción distinta. Considerando el nivel de servicio que tienen los principales prestadores de servicios de cómputo en la nube, la operación se encontraría protegida. Por lo que se refiere a “mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, para la emisión, administración, redención o transmisión de fondos de pago electrónico en territorio nacional”, este “golden copy” implicaría desarrollo importante, cambios en la infraestructura, operación y continuidad de negocio, que requerirían un plazo más amplio del que ha quedado señalado en el último párrafo (180 días). Considerar el nivel de riesgo de tener un proveedor nacional que no cuente con la infraestructura tecnológica que se refiere el artículo anterior y las disposiciones aplicables contra un proveedor del exterior que si tenga la infraestructura tecnológica y más aún cuando el artículo 26 señala lo siguiente: contar con las mejores prácticas y estándares internacionales de seguridad informática en esta materia, emitidas por el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio del Gobierno (National Institute of Standards and Technology, NIST), el Instituto SANS, y la Fundación OWASP de los Estados Unidos de América Por lo que se refiere a “mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, para la emisión, administración, redención o transmisión de fondos de pago electrónico en territorio nacional”, este “golden copy” implicaría desarrollo importante, cambios en la infraestructura, operación y continuidad de negocio, que requerirían un plazo más amplio del que ha quedado señalado en el último párrafo (180 días). -TRANSITORIOS PRIMERO.- Las presentes Disposiciones entrarán en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación. SEGUNDO.- Las instituciones de fondos de pago electrónico contarán con un plazo de 12 meses, posteriores a la entrada en vigor de este instrumento en el Diario Oficial de la Federación, para dar cumplimiento a lo establecido en los artículos 16 y 17.- Se requieren transitorios que contemplen períodos de adaptación para las personas que se encuentran operando bajo la Disposición Octava Transitoria de la Ley para Regular las Instituciones de Tecnología Financiera y que presentaron solicitudes de autorización a la CNBV previo a la emisión de estas disposiciones. Siguiendo el caso de las SIC/Cámaras de Compensación que se les dio 1 año para la entrada en vigor, en caso contrario la documentación en evaluación por las autoridades se estaría revisando bajo requerimientos distintos a los prescritos en estas reglas. Derivado de la publicación de las disposiciones en CONAMER y en particular cuando se publiquen las mismas, existen diversas entidades que ya operan bajo el 8 transitorio y que están muy cerca de obtener su autorizacion o más aún existen entidades que ya fueron autorizadas para operar como Instituciones de Fondos de Pago Electrónico y por lo tanto, el plazo establecido para la entrada en vigor de las disposiciones podría perjudicar gravemente a cualquier entidad que reciba autorización para operar como institución de fondos de pago electrónico. Se solicita que se extienda el plazo para la entrada en vigor de las disposiciones, y se propone que entren en vigor en un plazo de 180 días a partir de su publicación con la finalidad de permitir que aquellas ITF’s que lleguen a estar autorizadas a la fecha de publicación de las presentes, tengan un periodo de adopción y cumplimiento.