Artículo 24, último párrafo.- “Las instituciones de fondos de pago electrónico deberán contar con procedimientos y mecanismos de control de acceso a la Infraestructura Tecnológica que sean robustos y seguros, para lo cual deberán cumplir, al menos, con los requisitos siguientes: I…, II…, En el caso de que la institución de fondos de pago electrónico pretenda utilizar cualquier práctica o estándar distinto que no contenga los elementos antes mencionados, deberá obtener previamente la autorización del Banco de México y de la CNBV. Las instituciones de fondos de pago electrónico deberán presentar las solicitudes de dichas autorizaciones mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV. La CNBV y el Banco de México podrán divulgar en sus páginas de Internet los estándares que cumplen con los requisitos anteriores.”.- Este requerimiento se duplica con aquel en el que se debe solicitar autorización para contratar servicios con terceros bajo la modalidad de SaaS, PaaS e IaaS (Nube). Artículo 28, Fracción II, inciso c).- “Las instituciones de fondos de pago electrónico, para la implementación y el desarrollo de sus sistemas informáticos, ya sea por parte de la propia institución de fondos de pago electrónico o por medio de una empresa externa especializada en el desarrollo de programas de cómputo contratada por aquella, deberán cumplir con lo siguiente: I…, II…, a)…, b)…, c) Uso de comunicaciones cifradas para la comunicación de los diferentes sistemas informáticos y sus componentes.”.- Esto no tiene ninguna lógica ya que las conexiones directas (cross connections) entre componentes dentro de las mismas instalaciones o instancias no corren ningún riesgo, así como las conexiones dedicadas. El cifrado de comunicaciones es extremadamente oneroso en términos financieros y de recursos, así como en el desempeño de los equipos y procesos, además de que no se cumple con ningún objetivo para reducir o eliminar ningún riesgo. Los controles requeridos para implementar estos mecanismos son totalmente desproporcionados con respecto al capital mínimo que se requiere para la operación de una Institución de Fondos de Pago Electrónico Artículo 29, Fracción IV, inciso c), último párrafo.- “Las instituciones de fondos de pago electrónico deberán mantener la solidez de su Infraestructura Tecnológica, para lo cual deberán contar con: I…, II…, III…, IV. Registros que permitan vigilar, auditar y rastrear los accesos y actividades realizadas por los diferentes Clientes. Estos registros deberán incluir al menos la siguiente información: a)…, b)…, c)…, … Dicha información deberá ser proporcionada a los Clientes o usuarios del medio de disposición que así lo requieran expresamente a la institución de fondos de pago electrónico mediante sus canales de atención al Cliente, en un plazo que no exceda de diez días hábiles, siempre que se trate de Operaciones realizadas en las propias Cuentas de los Clientes o usuarios del medio de disposición durante los ciento ochenta días naturales previos al requerimiento de la información de que se trate.”.- Esto va en contra de las propias reglas de Banxico y Condusef para efectos de que un cliente pueda generar una reclamación (45 y 90 días, según sea el caso de operaciones nacionales o extranjeras). ¿Qué pasaría si el cliente detecta algo inusual o erróneo de operaciones que exceden los 45 o 90 días? No tendría ya ningún derecho en reclamar. Artículo 31.- Las instituciones de fondos de pago electrónico deberán contar con un Plan Director de Seguridad el cual deberá ser aprobado por el director general o, a falta de este, el administrador único. El Plan Director de Seguridad deberá estar alineado con la estrategia de negocio de la institución de fondos de pago electrónico y con lo establecido en la Política Estratégica de Continuidad de Negocio y de Seguridad de la Información, así como definir y priorizar los proyectos en materia de seguridad de la información, con el objetivo de reducir la exposición a los riesgos tecnológicos y la materialización de Incidentes de Seguridad de la Información hasta niveles aceptables en los términos que defina, en su caso, el Órgano de Administración, según se trate, a partir de un análisis de la situación actual.”.- El Plan Director de Seguridad es un documento que no se le pide a ninguna otra entidad de los sectores financieros regulados por la CNBV. Esto representa una desventaja competitiva y una desproporcionalidad. Además, no representa más que un documento burocrático, tomando en cuenta que todos los riesgos que podría atender este Plan, se pueden atender en los demás documentos que se solicitan en materia de Seguridad (Manuales, estándares, etc.). Artículo 33, último párrafo.- Las instituciones de fondos de pago electrónico deberán evaluar o auditar, previo al inicio de sus operaciones y al menos cada dos años, la seguridad informática de sus Infraestructuras Tecnológicas. Además, entre los trabajos de dicha evaluación o auditoría en los plazos referidos, las instituciones de fondos de pago electrónico deberán presentar un reporte al Órgano de Administración, así como al Banco de México y a la CNBV, que especifique el nivel de riesgo informático para la Infraestructura Tecnológica, así como la conformación de un plan de trabajo documentado para atender las observaciones de criticidad alta y muy alta encontrados en dicha evaluación o auditoría. Tales planes de trabajo deberán incorporarse al Plan Director de Seguridad. El reporte deberá firmarse digitalmente por el director general o, en su caso, el administrador único, y quedar cifrado conforme a lo siguiente: I…, II…, III…, Las instituciones de fondos de pago electrónico deberán enviar al Banco de México y a la CNBV el reporte a que se refiere este artículo mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y mediante documento o archivo electrónico que presente en la oficialía de partes de la propia CNBV.”.- No se establece ningún mecanismo para el intercambio y entrega de este documento. ¿Cómo se hará el intercambio de llaves con las autoridades? Artículo 36, Fracción I y X.- El oficial en jefe de seguridad de la información de la institución de fondos de pago electrónico deberá, al menos: I. Participar en la definición, verificar y ser responsable de la implementación y continuo cumplimiento de las políticas y procedimientos de seguridad de la información señalados en las presentes Disposiciones. II…, III…, IV…, V…, VI…, VII…, VIII…, IX…, X. Presentar mensualmente al director general o, en su caso, al administrador único, el informe de gestión en materia de seguridad de la información. Este reporte deberá efectuarse al comité de auditoría y al comité de riesgos o, en ausencia de estos, al consejo de administración de la institución de fondos de pago electrónico. XI…, XII…, …”.- Fracción I. Como CISO no puede ser responsable de la implementación. En todo caso, sería responsable de verificar la correcta implementación por parte de todas las áreas de la entidad. De lo contrario, esto representa un conflicto de interés. Fracción X. Esto es un trámite totalmente burocrático que no resuelve ni mitiga ningún riesgo, sobre todo si ambos (CISO y Director General) están involucrados en la operación diaria y tienen contacto todos los días. Además, están estableciendo que el Director General debe designarlo. Los mecanismos de supervisión no deberían ser distintos a los que utiliza el DG con el personal de las demás áreas que le reportan. Artículo 40, Fracción III.- El Órgano de Administración de la institución de fondos de pago electrónico que corresponda deberá designar a una persona que funja como responsable de la administración de Contingencias Operativas, que cuente con conocimientos en la materia, quien podrá ser la misma persona designada como administrador integral de riesgos de conformidad con las disposiciones de carácter general que emita la CNBV. El responsable de la administración de Contingencias Operativas podrá auxiliarse de otras áreas de la propia institución de fondos de pago electrónico o de terceros contratados al efecto que sean especialistas en la materia. Dicha persona tendrá, como mínimo, las funciones siguientes: I…, II…, III… Realizar las pruebas del funcionamiento y suficiencia del Plan de Continuidad de Negocio e informar al Órgano de Administración, cuando menos una vez al año, sobre los resultados de dichas pruebas. IV…, V…, VI…”.- El responsable de Contingencias operativas no puede realizar todas las pruebas. En su caso, debe ser responsable de coordinar la realización de estas Artículo 43, primer párrafo.- Las instituciones de fondos de pago electrónico deberán hacer del conocimiento del Banco de México y la CNBV las Contingencias Operativas que se presenten en cualquiera de los canales de atención al público o al interior de la propia institución de fondos de pago electrónico, mediante correo electrónico que se envíe a las cuentas ifpe@banxico.org.mx, contingencias@cnbv.gob.mx y supervisionfintech@cnbv.gob.mx o a través de otros medios que el propio Banco de México o la propia CNBV dispongan, debiéndose generar un acuse de recibo electrónico . Lo anterior, siempre que estas interrupciones que tengan una duración de, al menos, 30 minutos.” Son demasiados medios de comunicación. Debería establecerse uno solo y que internamente se implementen los mecanismos de distribución entre todas las áreas y autoridades correspondientes. Además, se solicita igualar el tiempo de la interrupción a 60 minutos para igualar a bancos y otras entidades con productos y servicios similares, y que son parte del mismo ecosistema de pagos electrónicos. Artículo 44, primer párrafo.- ¡Las instituciones de fondos de pago electrónico requerirán autorización del Banco de México y la CNBV, para contratar la prestación de servicios con cualquier tercero que cumplan con las siguientes características:”.- Es una carga excesiva regulatoria el tener que solicitar autorización a ambas autoridades. Además, no se prevé qué pasaría en caso de que alguna de ellas niegue la autorización y la otra sí la otorgue. Por ello, existe la posibilidad de que existan criterios contradictorios entre ambas entidades. Finalmente, se solicita que se establezca un solo canal para la solicitud de autorización y que exista un mecanismo de comunicación y colaboración para que se haga un solo trámite unificado. Artículo 46, Antepenúltimo párrafo.- Las instituciones de fondos de pago electrónico podrán celebrar contratos de comisión mercantil con terceros que actúen frente al público en general a nombre y por cuenta propia de las respectivas instituciones de fondos de pago electrónico para la realización de las siguientes operaciones: I…, II…, III…, IV…, V…, VI…, Las operaciones previstas en las fracciones anteriores deberán efectuarse en moneda nacional y a nombre y por cuenta propia de la institución de fondos de pago electrónico. En caso de que la institución de fondos de pago electrónico pretenda realizar a través de Comisionistas operaciones distintas a las señaladas, deberá solicitar autorización a la CNBV, previo a su realización…”.- Si la IFPE en cuestión ya tiene la autorización para operar en dlls, ¿porqué no se puede incluir en el catálogo? Es entendible para cuando se trata de depósitos, pero los demás servicios previstos, se pueden realizar de forma electrónica. Artículo 47, Fracción II, inciso f), subinciso iv.- “Las instituciones de fondos de pago electrónico que pretendan celebrar los contratos de comisión mercantil a que se refiere el artículo anterior, deberán solicitar autorización a la CNBV. Dicha autorización deberá contener lo siguiente: I…, II. Proyecto de contrato en el que deberá señalarse la fecha probable de su celebración y los derechos y obligaciones de la institución de fondos de pago electrónico y del comisionista o del Administrador de comisionistas. Asimismo, dentro del contrato se deberá prever lo siguiente: a)…, b)…, c)…, d)…, e)…, f) La prohibición para el comisionista o Administrador de comisionistas de: i…, ii..., iii..., iv. Subcontratar los servicios relacionados a la comisión mercantil.”.- Esto va en contra de la naturaleza de los administradores de corresponsales, quienes deben subcontratar a sus comisionistas para que funcione el ecosistema. Artículo 48, Fracciones I y II.- “Las instituciones de fondos de pago electrónico, en la realización de las Operaciones a través de comisionistas a que se refiere el artículo 46 anterior, deberán sujetarse a los límites siguientes: I. Tratándose de las Operaciones a que se refiere la fracción I del artículo 46 anterior, el límite por comisionista no podrá exceder de un monto diario equivalente en moneda nacional a 1,500 UDIs, por cuenta. II. Tratándose de las Operaciones a que se refiere la fracción II del artículo 46 anterior, el límite por comisionista, no podrán exceder de un monto diario equivalente en moneda nacional a 4,000 UDIs, por cuenta.”.- Se solicita que este límite se establezca para cada usuario (titular de medio de disposición), en lugar de cuenta. Lo anterior para tomar en cuenta, principalmente, a aquellos clientes que tienen muchos titulares de medios de disposición, como el caso de las instituciones con diversos titulares de medios de disposición (vales). Artículo 49, Fracción III, inciso f).- “Para los casos en que el tercero mantenga Información Personal e Información Sensible, así como imágenes de identificaciones oficiales del Cliente fuera del territorio nacional, la institución de fondos de pago electrónico deberá acreditar que dicha información se encuentre cifrada y que los mecanismos y procedimientos para descifrarla estén en posesión del oficial en jefe de seguridad de la información quien será responsable, en caso de pérdida, de la ejecución de los referidos mecanismos y procedimientos.”.- Es totalmente desproporcionado y va en contra del desempeño de los equipos y el servicio el que la información se mantenga cifrada, sobre todo por el volumen de transacciones que estará recibiendo y que, por cada una de ellas, se deberá desencriptar y volver a encriptar. Artículo 49, Fracción IV.- “Los mecanismos que permitirán a la institución de fondos de pago electrónico, mantener en sus instalaciones los registros detallados de todas las Operaciones que se realicen, así como de sus registros contables de forma que se asegure la continuidad operativa en todo momento. Dichos registros deberán mantenerse en un formato que permita su consulta y uso, con independencia de que el servicio contratado con el tercero no se encuentre disponible”.- Dados los mecanismos existentes en materia de continuidad de servicios, la mayoría de los proveedores serios de infraestructura garantizan más del 99.99% de disponibilidad de servicios. Esta disponibilidad excede por mucho cualquier mecanismo que las mismas entidades que deciden tener su propia infraestructura en sus propias instalaciones, ya que es parte de la misma naturaleza y razón de ser de estos proveedores. Además, la continuidad de servicios se garantiza con el cumplimiento de la regulación en esta materia que ya existe en estas mismas disposiciones. Esta disposición tiene una carga regulatoria excesiva en términos financieros y de uso de recursos, y además, no minimiza ni mitiga ningún riesgo. Adicionalmente, la implementación adecuada de estos mecanismos implica un costo que puede ser mayor al mismo capital mínimo exigible para las Instituciones de Fondos de Pago Electrónico. Artículo 49, Fracción VIII, segundo párrafo.- “Evidencia que permita verificar que los terceros tengan e implementen políticas de protección de datos personales y confidencialidad de la información que permitan a la institución de fondos de pago electrónico cumplir con las disposiciones legales que la rigen en la materia. Tratándose de servicios que se procesen, proporcionen o ejecuten total o parcialmente fuera de territorio nacional, las instituciones de fondos de pago electrónico deberán acompañar la documentación que acredite que los terceros residen en países cuyo derecho interno proporciona protección a los datos de las personas, resguardando su debida confidencialidad, o bien, que dichos países mantengan suscritos con México acuerdos internacionales en dicha materia o de intercambio de información entre los organismos supervisores, tratándose de Entidades Financieras….”.- Esta información perfectamente puede ser validada por las autoridades como parte de su análisis interno para la autorización, ya que es mucho más factible que estas tengan el registro de todos aquellos países que cuentan con leyes de protección de datos. Esto es facultad y responsabilidad de cada una de las autoridades, y es más fácil que estas cuenten con esta información, en lugar de que las IFPE la consigan. Artículo 49, último párrafo.- “El Banco de México y la CNBV contarán con un plazo de veinticinco días hábiles para resolver respecto de la solicitud de autorización a que se refiere el presente artículo; transcurrido este plazo sin pronunciamiento alguno, se entenderá la resolución en sentido positivo. Cualquier requerimiento de información adicional que realice el Banco de México o la CNBV interrumpirá el plazo señalado en este párrafo.”.- Se solicita reducir el plazo a veinte días hábiles, para homologar los plazos establecidos para las entidades financieras de otros sectores regulados y que son también parte del mismo ecosistema de pagos. Artículo 50, primer párrafo.- “La institución de fondos de pago electrónico que se ubique en los supuestos previstos en este artículo y contrate con algún tercero la prestación de servicios de Cómputo en la Nube para realizar procesos cuya interrupción, parcial o permanente, imposibiliten a la institución de fondos de pago electrónico la emisión, administración, redención o transmisión de fondos de pago electrónico, conforme a los actos a los que refieren las fracciones II, III, IV y V del artículo 22 de la Ley, deberá mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, los actos a los que se refiere el presente artículo en territorio nacional, o mantener dicha capacidad a través de un prestador de servicios cuya persona o Grupo de Personas que ejerzan el Control, sean distintos al tercero referido y que esté constituidos y sujetos a jurisdicciones nacionales distintas a aquella en que se haya constituido y quede sujeto dicho tercero.”.- Esto está totalmente desproporcionado y no cumple con ningún objetivo. Con la regulación existente en materia de continuidad y de seguridad, se minimiza y mitigan los riesgos de confidencialidad y disponibilidad de la información. Además, representa un costo excesivo en términos financieros y de recursos que son desproporcionales con respecto al capital exigido para la constitución de cualquier IFPE y representa una desventaja competitiva con respecto a entidades financieras que son parte del mismo ecosistema de pagos electrónicos. Además, el riesgo de que las autoridades requieran información de clientes y/o IFPE se elimina por todas las medidas de seguridad exigidas en otros artículos. Finalmente, la mayoría de los proveedores de servicios en nube, ponen a disposición equipos de asesoría y acompañamiento legal para evitar que la información pueda ser proporcionada a las autoridades de aquel país. Finalmente, en el peor de los casos, la información que se obtendría mantiene mecanismos de cifrado que impedirían su lectura y explotación por parte de terceros no autorizados. Artículo 51, Fracción V, inciso b).- “Aquella en donde se detallen los mecanismos para asegurar la transmisión y almacenamiento de la información en forma Cifrada, en su caso, incluyendo la versión de los protocolos de Cifrado y componentes de seguridad en la Infraestructura Tecnológica.”.- El almacenamiento cifrado de información es excesivamente desproporcionado y oneroso en términos financieros y en uso de recursos. El presupuesto que se debería asignar a mecanismos de este tipo excede por mucho el mismo capital requerido por las autoridades para la operación de la Fintech. Artículo 57, tercer párrafo.- “Las instituciones de fondos de pago electrónico no podrán contratar los servicios de un Tercero Independiente, ni de las personas morales por medio de las cuales presten los servicios respectivos, para obtener la evaluación de cumplimiento a que se refiere este artículo por más de dos periodos de evaluación consecutivos. Sin perjuicio de lo anterior, la institución de fondos de pago electrónico podrá designar nuevamente al mismo Tercero Independiente o persona moral referida, después de una interrupción mínima de cinco años contados a partir de la última evaluación de cumplimiento que hubiere otorgado respecto de dicha institución.” .- No existe ninguna lógica detrás de este requerimiento. En ningún sector se exige para procesos similares el que se cambien de evaluadores cada tercer año. Es como si se pidiera cambiar de auditor de estados financieros en el mismo período. Esta contratación es muy cara, sobre todo si no se puede establecer un compromiso a largo plazo, además, el mercado no cuenta con suficientes proveedores que puedan proporcionar el servicio con la calidad que se espera y la responsabilidad que se tendría. Finalmente se tiene una desventaja en comparación con sectores financieros que actúan en el mismo ecosistema de pagos electrónicos. TRANSITORIOS.- Se requiere que se establezcan plazos transitorios para las entidades del 8vo para el cumplimiento de todas estas disposiciones, ya que vienen operando bajo el modelo operativo y tecnológico definido por sus propias políticas y procedimientos. La adaptación de todos los controles y mecanismos, elaboración de políticas y procedimientos y cumplimiento de todas estas disposiciones requieren de un plazo mínimo de 6 a 12 meses. ANEXO 2. REQUERIIMIENTOS MÍNIMOS PARA DESARROLLAR EL PLAN DE CONTINUIDAD DE NEGOCIO. Fracción II, inciso f).- “Determine el tiempo objetivo de recuperación (conocido como RTO, por sus siglas en inglés), para cada uno de los servicios y procesos. En el caso de los procesos considerados como críticos, el plazo de recuperación no deberá exceder de dos horas.”.- Este criterio es totalmente excesivo y desproporcionado con respecto a entidades financieras reguladas que son parte del mismo ecosistema de pagos electrónicos y que ofrecen productos y servicios similares, ya que no se exige ningún límite para esos demás sectores. ANEXO 2. REQUERIIMIENTOS MÍNIMOS PARA DESARROLLAR EL PLAN DE CONTINUIDAD DE NEGOCIO. Fracción II, inciso g).- “Establezca el punto objetivo de recuperación (conocido como RPO, por sus siglas en inglés), entendido como la máxima pérdida de datos tolerable para cada uno de los servicios y procesos, considerando que la información de aquellas operaciones ya efectuadas no pueda perderse en ningún escenario y que se conozca, de forma oportuna, el estado que tenía cada operación celebrada al momento en que se presentó la Contingencia Operativa”.- Este criterio es totalmente excesivo y desproporcionado con respecto a entidades financieras reguladas que son parte del mismo ecosistema de pagos electrónicos y que ofrecen productos y servicios similares, ya que no se exige ningún límite para esos demás sectores. ANEXO 2. REQUERIIMIENTOS MÍNIMOS PARA DESARROLLAR EL PLAN DE CONTINUIDAD DE NEGOCIO. Fracción IV, inciso b), subinciso iii).- “Hacer del conocimiento del Banco de México y la CNBV, las Contingencias Operativas, conforme a lo señalado en el artículo 43 de estas Disposiciones.”.- Solicitamos que se establezca un solo canal de reporte para hacerlo más eficiente y que de forma interna, ambas autoridades realicen el intercambio de información. De lo contrario, se volvería un trámite excesivamente burocrático, ineficaz e ineficiente. ANEXO 7. REQUERIMIENTOS TÉCNICOS PARA REALIZAR OPERACIONES A TRAVÉS DE COMISIONISTAS, Fracción II, segundo párrafo.- “La referida descripción deberá, al menos lo siguiente:…”.- No se entiende nada de lo que aquí se requiere.