Artículo 4.- “Las instituciones de fondos de pago electrónico deberán notificar a sus respectivos Clientes, en un periodo no mayor a tres segundos, por los medios pactados con ellos que hayan elegido de entre los ofrecidos por dichas instituciones para tal fin, cuando, a través de Canales de Instrucción, se ejecute cualquiera de las Operaciones o se solicite a las instituciones de fondos de pago electrónico alguno de los servicios que ofrezcan, en los siguientes casos:”.- Para efectos de clientes que cuentan con varios titulares de medios de disposición, es más efectivo si las notificaciones se hacen a dichos titulares, en lugar o además de los clientes. Artículo 4, Fracción IV.- “Las instituciones de fondos de pago electrónico deberán notificar a sus respectivos Clientes, en un periodo no mayor a tres segundos, por los medios pactados con ellos que hayan elegido de entre los ofrecidos por dichas instituciones para tal fin, cuando, a través de Canales de Instrucción, se ejecute cualquiera de las Operaciones o se solicite a las instituciones de fondos de pago electrónico alguno de los servicios que ofrezcan, en los siguientes casos: I…, II…, III…, IV. Desactivación, reactivación y modificación de los Factores de Autenticación.”.- Recomendamos agregar el bloqueo de los factores de autenticación como un criterio más para notificar a los clientes. Artículo 5, Fracción I, Inciso B, subinciso b).- “Para efectos de las presentes Disposiciones, los Factores de Autenticación que las instituciones de fondos de pago electrónico deberán utilizar solo podrán incluir la información perteneciente a cualquiera de las siguientes categorías: I…, A…, B…, a)…, b) Se defina un conjunto de preguntas abiertas en cuestionarios de, al menos, tres preguntas y, en el evento de que la respuesta a una de ellas sea incorrecta, se podrá formular una pregunta adicional. En ningún caso, las respuestas a estas preguntas podrán ser datos que se muestren en el Canal de Instrucción ni se encuentren en comunicaciones impresas o electrónicas enviadas por las instituciones de fondos de pago electrónico a sus Clientes”.- Esto limita muchísimo el universo de información que podría utilizarse en cuestionarios. Prácticamente todo está al menos en estados de cuenta y/o relación de movimientos en las aplicaciones móviles y/o web. Se solicita que únicamente se restrinja a información que esté contenida en comunicación impresa. Artículo 5, Fracción III.- “Para efectos de las presentes Disposiciones, los Factores de Autenticación que las instituciones de fondos de pago electrónico deberán utilizar solo podrán incluir la información perteneciente a cualquiera de las siguientes categorías: I…, II…, III. Información derivada de características propias del Cliente tales como aquellas de carácter biométrico, huellas dactilares, geometría de la mano o de la cara, patrones en iris o retina, entre otros. Para el uso de esta información se deberá contar con la previa autorización de la CNBV y del Banco de México.”.- Se solicita que también se incluya el mecanismo de verificación por voz como factor biométrico, debido a que cuenta con todas las características técnicas para considerarse como tal. Artículo 6.- “Las instituciones de fondos de pago electrónico podrán solicitar a la CNBV y al Banco de México que autoricen el uso de Factores de Autenticación referidos en las fracciones I y II del artículo anterior con características distintas a las señaladas en dicho artículo, así como la utilización de la información señalada en la fracción III de dicho artículo, siempre que acrediten que la tecnología utilizada, a juicio de ambas Autoridades Financieras, resulta fiable para autenticar a sus Clientes.”.- Es una carga excesiva regulatoria el tener que solicitar autorización a ambas autoridades. Además, no se prevé qué pasaría en caso de que alguna de ellas niegue la autorización y la otra sí la otorgue. Por ello, existe la posibilidad de que existan criterios contradictorios entre ambas entidades. Finalmente, se solicita que se establezca un solo canal para la solicitud de autorización y que exista un mecanismo de comunicación y colaboración para que se haga un solo trámite unificado. Artículo 8, Fracción I.- “Las instituciones de fondos de pago electrónico deberán solicitar al menos dos Factores de Autenticación independientes en cada ocasión en que se pretenda realizar lo siguiente: I. Alta y baja de beneficiarios de la Cuenta a que se refiere el artículo 29 de la Ley. Debe ser alta y cambio. La baja no tiene ningún riesgo para el patrimonio de los clientes ni para la seguridad e integridad de su información. Se solicita que se elimine. Artículo 9, primer párrafo.- “Las instituciones de fondos de pago electrónico deberán contar con políticas y procedimientos para asegurar que en la generación, entrega, almacenamiento, desbloqueo y restablecimiento de los Factores de Autenticación, únicamente sea el Cliente quien los reciba, active, conozca, desbloquee y restablezca”.- Esto mismo está relacionado con lo que también menciona el Artículo 18 que menciona “Artículo 18.- Las instituciones de fondos de pago electrónico deberán cumplir con los requisitos siguientes, respecto de la información relativa a los Factores de Autenticación: I. Mantener procedimientos de seguridad de información para la custodia, distribución y asignación de los Factores de Autenticación de sus Clientes. Perfectamente se puede unir. Artículo 16.- “Las instituciones de fondos de pago electrónico deberán cifrar la Información Personal y la Información Sensible recibida, generada, almacenada, procesada, o transmitida en la Infraestructura Tecnológica, las imágenes de documentos de identificación expedidos por autoridades oficiales e información biométrica de los Clientes, así como cualquier otra que determinen de acuerdo con sus políticas.”.- No se pueden tener mecanismos de cifrado sobre información que se está procesando. Y el almacenamiento cifrado de información es excesivamente desproporcionado y oneroso en términos financieros y en uso de recursos. El presupuesto que se debería asignar a mecanismos de este tipo excede por mucho el mismo capital requerido por las autoridades para la operación de la Fintech. Adicionalmente, cuando se trata de infraestructura propia o dedicada, no existe ningún riesgo sobre la confidencialidad e integridad de la información almacenada o procesada, si se tienen mecanismos adecuados que no permitan su acceso a través de permisos y dispositivos de filtrado de redes, los cuales ya están considerados en otras disposiciones de este documento. Artículo 18, Fracción I.- “Las instituciones de fondos de pago electrónico deberán cumplir con los requisitos siguientes, respecto de la información relativa a los Factores de Autenticación: I. Mantener procedimientos de seguridad de información para la custodia, distribución y asignación de los Factores de Autenticación de sus Clientes.” Esta fracción se puede unir con lo establecido en el Artículo 9 de estas mismas disposiciones. Hablan de lo mismo Artículo 18, Fracciones II y III.- “Las instituciones de fondos de pago electrónico deberán cumplir con los requisitos siguientes, respecto de la información relativa a los Factores de Autenticación: I…, II. Establecer procedimientos y mecanismos con el fin de que la información relativa a los Factores de Autenticación no sea conocida por ninguno de sus funcionarios, empleados o representantes o por algún tercero. III. Establecer procedimientos y mecanismos que impidan solicitar a sus Clientes, a través de sus funcionarios, empleados, representantes o terceros, la información parcial o completa relativa a los Factores de Autenticación.”.- Estas dos fracciones se pueden unir en una sola que mencione que las instituciones deberán establecer procedimientos y mecanismos con el fin de que la información de los Factores de Autenticación no sea conocida ni solicitada por ninguno de sus funcionarios, empleados o representantes o por algún tercero. Artículo 21.- “Las instituciones de fondos de pago electrónico deberán realizar, previo al inicio de su operación y al menos cada dos meses, un análisis que permita administrar las vulnerabilidades de seguridad informática derivadas de, entre otros factores, cambios, actualizaciones o errores en la Infraestructura Tecnológica y generar un plan de remediación documentado para atender las vulnerabilidades referidas en dicho análisis de acuerdo con la importancia crítica de estos, conforme a la clasificación que realice la propia institución.”.- Es totalmente desproporcionado que se exijan estos análisis de vulnerabilidades cada dos meses, en relación con el riesgo al que están expuestos y el impacto en términos financieros. Además, para sectores financieros similares y que son parte del mismo ecosistema de pagos, estas pruebas son obligatorias cada 6 meses o cada año, en algunos casos. Artículo 23.- “Las instituciones de fondos de pago electrónico deberán establecer procedimientos y mecanismos para restringir el acceso tanto a los puertos físicos de conexión y dispositivos periféricos, como a la infraestructura de cómputo o de telecomunicaciones, utilizados para el resguardo de la información y la operación de la institución de fondos de pago electrónico”.- Esto no aplica para servicios contratados con terceros bajo la modalidad de Infraestructura compartida como Servicio (IaaS), Plataforma como servicio (PaaS) o Software como servicio (SaaS), ya que las entidades no tienen ninguna injerencia sobre la configuración de los equipos donde se almacena y procesa la información. Los proveedores son quienes dictan estas políticas.