Artículo 3, subinciso ii) Las instituciones de fondos de pago electrónico podrán permitir a sus Clientes: (i) la contratación de Operaciones y servicios adicionales a los originalmente convenidos, (ii) modificar los términos y condiciones para la prestación de los servicios anteriormente convenidos, previo consentimiento expreso de sus Clientes, el cual podrá obtenerse por dichas instituciones a través del proceso de Autenticación referido en el artículo 7 de las presentes Disposiciones, desde el Canal de Instrucción de que se trate, o bien, (iii) contratar el uso de otro Canal de Instrucción, siempre y cuando la institución de fondos de pago electrónico requiera, para ello, al menos, un Factor de Autenticación El cliente no debería modificar los Términos y condiciones, la IFPE es quien podría modificarlos, se debe solicitar la autorizacion del cliente. Artículo 4 Las instituciones de fondos de pago electrónico deberán notificar a sus respectivos Clientes, en un periodo no mayor a tres segundos, por los medios pactados con ellos que hayan elegido de entre los ofrecidos por dichas instituciones para tal fin, cuando, a través de Canales de Instrucción, se ejecute cualquiera de las Operaciones o se solicite a las instituciones de fondos de pago electrónico alguno de los servicios que ofrezcan, en los siguientes casos: Se podría ampliar el periodo de notificación de al menos 10 segundos Para efectos de clientes que cuentan con varios titulares de medios de disposición, es más efectivo si las notificaciones se hacen a dichos titulares, en lugar o además de los clientes Artículo 4, Fracción III Las instituciones de fondos de pago electrónico deberán notificar a sus respectivos Clientes, en un periodo no mayor a tres segundos, por los medios pactados con ellos que hayan elegido de entre los ofrecidos por dichas instituciones para tal fin, cuando, a través de Canales de Instrucción, se ejecute cualquiera de las Operaciones o se solicite a las instituciones de fondos de pago electrónico alguno de los servicios que ofrezcan, en los siguientes casos: III. Contratación de otro servicio provisto a través de Canales de Instrucción o modificación de los términos y condiciones para el uso del servicio previamente contratado, y El cliente no debería poder modificar los términos y Condiciones, el cliente solo debe solicitar la contratación del servicio y que otorgue el consentimiento para ello. Artículo 4, Fracción IV Las instituciones de fondos de pago electrónico deberán notificar a sus respectivos Clientes, en un periodo no mayor a tres segundos, por los medios pactados con ellos que hayan elegido de entre los ofrecidos por dichas instituciones para tal fin, cuando, a través de Canales de Instrucción, se ejecute cualquiera de las Operaciones o se solicite a las instituciones de fondos de pago electrónico alguno de los servicios que ofrezcan, en los siguientes casos: I… II… III… IV. Desactivación, reactivación y modificación de los Factores de Autenticación. Recomendamos agregar el bloqueo de los factores de autenticación como un criterio más para notificar a los clientes Artículo 5, Fracción I, Inciso B, subinciso b) Para efectos de las presentes Disposiciones, los Factores de Autenticación que las instituciones de fondos de pago electrónico deberán utilizar solo podrán incluir la información perteneciente a cualquiera de las siguientes categorías: I… A… B… a)… b) Se defina un conjunto de preguntas abiertas en cuestionarios de, al menos, tres preguntas y, en el evento de que la respuesta a una de ellas sea incorrecta, se podrá formular una pregunta adicional. En ningún caso, las respuestas a estas preguntas podrán ser datos que se muestren en el Canal de Instrucción ni se encuentren en comunicaciones impresas o electrónicas enviadas por las instituciones de fondos de pago electrónico a sus Clientes Se solicita que únicamente se restrinja a información que esté contenida en comunicación impresa. o bien ¿Se emitirá un catálogo de tipos de preguntas abiertas que se pueden realizar o es a consideración de cada Institución?, o bien que tipo de información se puede solicitar en dichas preguntas.? Articulo 5, Fraccion I último parrafo Para efectos de las presentes Disposiciones, los Factores de Autenticación que las instituciones de fondos de pago electrónico deberán utilizar solo podrán incluir la información perteneciente a cualquiera de las siguientes categorías: Las instituciones de fondos de pago electrónico podrán utilizar cuestionarios para desbloquear los Factores de Autenticación quepreviamente hayan sido bloqueado Misma duda que el punto anterior, habrá un catálogo o tipos de preguntas que se deberán de realizar para el desbloqueo o bien que tipo de información se puede solicitar en dichas preguntas. Artículo 5, Fracción III Para efectos de las presentes Disposiciones, los Factores de Autenticación que las instituciones de fondos de pago electrónico deberán utilizar solo podrán incluir la información perteneciente a cualquiera de las siguientes categorías: I… II… III. Información derivada de características propias del Cliente tales como aquellas de carácter biométrico, huellas dactilares, geometría de la mano o de la cara, patrones en iris o retina, entre otros. Para el uso de esta información se deberá contar con la previa autorización de la CNBV y del Banco de México. Se recomienda que también se incluya el mecanismo de verificación por voz como factor biométrico, ya que cuenta con todas las características técnicas. Artículo 6 Las instituciones de fondos de pago electrónico podrán solicitar a la CNBV y al Banco de México que autoricen el uso de Factores de Autenticación referidos en las fracciones I y II del artículo anterior con características distintas a las señaladas en dicho artículo, así como la utilización de la información señalada en la fracción III de dicho artículo, siempre que acrediten que la tecnología utilizada, a juicio de ambas Autoridades Financieras, resulta fiable para autenticar a sus Clientes. No se establece que pasara en caso de que una de las dos autoridades niegue la autorización? Ademas se requiere que exista un solo medio de comunicación para la solicitud de autorización y pueda realizarse un solo trámite. Artículo 8, Fracción I Las instituciones de fondos de pago electrónico deberán solicitar al menos dos Factores de Autenticación independientes en cada ocasión en que se pretenda realizar lo siguiente: I. Alta y baja de beneficiarios de la Cuenta a que se refiere el artículo 29 de la Ley. Este articulo se entiende lo mismo que solicita el articulo 18 fraccion I, por lo que puede unificarse en uno solo. Artículo 11, Fraccion I, Inciso a) Las instituciones de fondos de pago electrónico deberán prever lo necesario para que, una vez autenticado el Cliente en el Canal de Instrucción, la Sesión no pueda ser utilizada por un tercero. Para efectos de lo anterior, las instituciones de fondos de pago electrónico establecerán, al menos, los mecanismos siguientes: I.. a)Cuando exista inactividad por mas de 5 minutos El tiempo maximo para el termino de sesion por inactividad lo establece la propia institucion? Es decir una vez que pase los 5 min de inactividad pero se puede dar por teminada a los 10 minutos? Se entiende que el limite minimo son 5 minutos pero hay un limite maximo de tiempo? Especificar tiempo maximo Artículo 11, Fraccion II Impedir el acceso de forma simultánea en un mismo Canal de Instrucción, mediante la utilización de un mismo Identificador de Cliente y hacerlo del conocimiento del Cliente. Asimismo,las instituciones de fondos de pago electrónico deberán detectar los intentos de acceder al Canal de Instrucción con información incorrecta y, en su caso, restringir temporalmente el acceso al Canal de Instrucción de que se trate cuando existan tres intentos de acceso fallido. cual es el tiempo minimo para la restriccion temporal? Lo que considere la propia Institucion? Al momento de quitar o eliminar la restriccion sera de manera automatica o se debera de solicitar informacion como alguna contraseña o cuestionario?? Establecer o especificar en que momento se elimina la restriccion temporal Artículo 16 Las instituciones de fondos de pago electrónico deberán cifrar la Información Personal y la Información Sensible recibida, generada, almacenada, procesada, o transmitida en la Infraestructura Tecnológica, las imágenes de documentos de identificación expedidos por autoridades oficiales e información biométrica de los Clientes, así como cualquier otra que determinen de acuerdo con sus políticas. No se pueden cifrar información que se está procesando. Además el almacenamiento cifrado de información es muy costos en términos financieros y en uso de recursos. requerido por las autoridades para la operación de la Fintech. Artículo 18, Fracción I Artículo 18.- Las instituciones de fondos de pago electrónico deberán cumplir con los requisitos siguientes, respecto de la información relativa a los Factores de Autenticación: I. Mantener procedimientos de seguridad de información para la custodia, distribución y asignación de los Factores de Autenticación de sus Clientes. Esta fracción se puede unir con lo establecido en el Artículo 9 de estas mismas disposiciones. Hablan de lo mismo Artículo 18, Fracciones II y III Artículo 18.- Las instituciones de fondos de pago electrónico deberán cumplir con los requisitos siguientes, respecto de la información relativa a los Factores de Autenticación: I. II. Establecer procedimientos y mecanismos con el fin de que la información relativa a los Factores de Autenticación no sea conocida por ninguno de sus funcionarios, empleados o representantes o por algún tercero III. Establecer procedimientos y mecanismos que impidan solicitar a sus Clientes, a través de sus funcionarios, empleados, representantes o terceros, la información parcial o completa relativa a los Factores de Autenticación. Se considera que dichas fracciones se pueden unificar en una misma fracción. Artículo 21 Las instituciones de fondos de pago electrónico deberán realizar, previo al inicio de su operación y al menos cada dos meses, un análisis que permita administrar las vulnerabilidades de seguridad informática derivadas de, entre otros factores, cambios, actualizaciones o errores en la Infraestructura Tecnológica y generar un plan de remediación documentado para atender las vulnerabilidades referidas en dicho análisis de acuerdo con la importancia crítica de estos, conforme a la clasificación que realice la propia institución. La frecuencia de 2 meses es muy alta, los costos resultan prohibitibos y los beneficios son muy reducidos. En otros sectores financieros la frecuencia obligada es de 6 meses, en nuestro caso podría aún ser menor, 1 vez al año podría ser suficiente. Artículo 23 Las instituciones de fondos de pago electrónico deberán establecer procedimientos y mecanismos para restringir el acceso tanto a los puertos físicos de conexión y dispositivos periféricos, como a la infraestructura de cómputo o de telecomunicaciones, utilizados para el resguardo de la información y la operación de la institución de fondos de pago electrónico. ¿Restricción es limitar el acceso o negar por completo al acceso a los puertos físicos de conexión y dispositivos periféricos? Además, nosotros no podríamos exigir esto a nuestros proveedores con los que trabajamos. Artículo 24, último párrafo Artículo 24.- Las instituciones de fondos de pago electrónico deberán contar con procedimientos y mecanismos de control de acceso a la Infraestructura Tecnológica que sean robustos y seguros, para lo cual deberán cumplir, al menos, con los requisitos siguientes: I… II… En el caso de que la institución de fondos de pago electrónico pretenda utilizar cualquier práctica o estándar distinto que no contenga los elementos antes mencionados, deberá obtener previamente la autorización del Banco de México y de la CNBV. Las instituciones de fondos de pago electrónico deberán presentar las solicitudes de dichas autorizaciones mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV. La CNBV y el Banco de México podrán divulgar en sus páginas de Internet los estándares que cumplen con los requisitos anteriores. ¿Es diferente al artículo sobre soicitar autorizacón para contratar servicios en la nube? Artículo 28, Fracción II, inciso c) Las instituciones de fondos de pago electrónico, para la implementación y el desarrollo de sus sistemas informáticos, ya sea por parte de la propia institución de fondos de pago electrónico o por medio de una empresa externa especializada en el desarrollo de programas de cómputo contratada por aquella, deberán cumplir con lo siguiente: c) Uso de comunicaciones cifradas para la comunicación de los diferentes sistemas informáticos y sus componentes. El costo de implementar comunicación cifrada es muy alto para los beneficios que se pueden obtener, no nos queda claro el propósito de esa sección como para proponer una alternativa Artículo 31 Las instituciones de fondos de pago electrónico deberán contar con un Plan Director de Seguridad el cual deberá ser aprobado por el director general o, a falta de este, el administrador único. El Plan Director de Seguridad deberá estar alineado con la estrategia de negocio de la institución de fondos de pago electrónico y con lo establecido en la Política Estratégica de Continuidad de Negocio y de Seguridad de la Información, así como definir y priorizar los proyectos en materia de seguridad de la información, con el objetivo de reducir la exposición a los riesgos tecnológicos y la materialización de Incidentes de Seguridad de la Información hasta niveles aceptables en los términos que defina, en su caso, el Órgano de Administración, según se trate, a partir de un análisis de la situación actual. Este Plan Director de Seguridad es un documento que no se le pide a ninguna otra entidad de los sectores financieros regulados por la CNBV. Además de que no especifica como debe ser elaborado dicho Plan, aunado a lo anterior se considera que lo que se solicita ya se definen en los manuales que pide la propia CNBV en materia de Seguridad. Esto representa una desventaja competitiva y una desproporcionalidad. Artículo 33, último párrafo Artículo 33.- Las instituciones de fondos de pago electrónico deberán evaluar o auditar, previo al inicio de sus operaciones y al menos cada dos años, la seguridad informática de sus Infraestructuras Tecnológicas. Además, entre los trabajos de dicha evaluación o auditoría en los plazos referidos, las instituciones de fondos de pago electrónico deberán presentar un reporte al Órgano de Administración, así como al Banco de México y a la CNBV, que especifique el nivel de riesgo informático para la Infraestructura Tecnológica, así como la conformación de un plan de trabajo documentado para atender las observaciones de criticidad alta y muy alta encontrados en dicha evaluación o auditoría. Tales planes de trabajo deberán incorporarse al Plan Director de Seguridad. El reporte deberá firmarse digitalmente por el director general o, en su caso, el administrador único, y quedar cifrado conforme a lo siguiente: I... II... III... Las instituciones de fondos de pago electrónico deberán enviar al Banco de México y a la CNBV el reporte a que se refiere este artículo mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y mediante documento o archivo electrónico que presente en la oficialía de partes de la propia CNBV. Quien o como se establecerá la entrega de dichas llaves? Así como la del certificado digital, ¿Cómo se hará el intercambio de llaves con las autoridades? No especifica el procedimiento. Artículo 36, Fracción I Artículo 36.- El oficial en jefe de seguridad de la información de la institución de fondos de pago electrónico deberá, al menos: I. Participar en la definición, verificar y ser responsable de la implementación y continuo cumplimiento de las políticas y procedimientos de seguridad de la información señalados en las presentes Disposiciones. II.. III.. IV.. V..VI..VII..VIII..IX.. X. Presentar mensualmente al director general o, en su caso, al administrador único, el informe de gestión en materia de seguridad de la información. Este reporte deberá efectuarse al comité de auditoría y al comité de riesgos o, en ausencia de estos, al consejo de administración de la institución de fondos de pago electrónico. Fracción I. Se considera que el CISO no puede ser responsable de la implementación, sin embargo si sería responsable de verificar la correcta implementación por parte de todas las áreas de la entidad. De lo contrario, esto representa un conflicto de interés. Fracción X. Se considera que dicho informe mensual se presente directamente al comité de auditoria, comité de riesgos o en su caso al Consejo de Admón., y como informativo al DG después de su presentación ante dichos comités o consejo. Artículo 40, Fracción III El Órgano de Administración de la institución de fondos de pago electrónico que corresponda deberá designar a una persona que funja como responsable de la administración de Contingencias Operativas, que cuente con conocimientos en la materia, quien podrá ser la misma persona designada como administrador integral de riesgos de conformidad con las disposiciones de carácter general que emita la CNBV. El responsable de la administración de Contingencias Operativas podrá auxiliarse de otras áreas de la propia institución de fondos de pago electrónico o de terceros contratados al efecto que sean especialistas en la materia. Dicha persona tendrá, como mínimo, las funciones siguientes: I.. II... III… Realizar las pruebas del funcionamiento y suficiencia del Plan de Continuidad de Negocio e informar al Órgano de Administración, cuando menos una vez al año, sobre los resultados de dichas pruebas. ¿El responsable de Contigencias operativas tiene que ser quien realice las pruebas o puede solo supervisarlas? Artículo 43, primer párrafo Las instituciones de fondos de pago electrónico deberán hacer del conocimiento del Banco de México y la CNBV las Contingencias Operativas que se presenten en cualquiera de los canales de atención al público o al interior de la propia institución de fondos de pago electrónico, mediante correo electrónico que se envíe a las cuentas ifpe@banxico.org.mx, contingencias@cnbv.gob.mx y supervisionfintech@cnbv.gob.mx o a través de otros medios que el propio Banco de México o la propia CNBV dispongan, debiéndose generar un acuse de recibo electrónico . Lo anterior, siempre que estas interrupciones que tengan una duración de, al menos, 30 minutos. Los tiempos para avisar son mas cortos que los de otras instituciones financieras, deberían ser al menos los mismo. Los avisos deberían ser hechos a 1 solo dirección y que esa dirección se encargue de notoficar a quien la CNBV considere deba ser notificado Artículo 44, primer párrafo Las instituciones de fondos de pago electrónico requerirán autorización del Banco de México y la CNBV, para contratar la prestación de servicios con cualquier tercero que cumplan con las siguientes características: Pedimos se simplifique la solicitud de permiso en una sola autoridad cuyos requisitos sean acordados entre las dos autoridades. Artículo 47, Fracción II, inciso f), subinciso iv Las instituciones de fondos de pago electrónico que pretendan celebrar los contratos de comisión mercantil a que se refiere el artículo anterior, deberán solicitar autorización a la CNBV. Dicha autorización deberá contener lo siguiente: I..II. Proyecto de contrato en el que deberá señalarse la fecha probable de su celebración y los derechos y obligaciones de la institución de fondos de pago electrónico y del comisionista o del Administrador de comisionistas. Asimismo, dentro del contrato se deberá prever lo siguiente: a).b)..c)..d)..e)..f) La prohibición para el comisionista o Administrador de comisionistas de: i..ii..iii..iv. Subcontratar los servicios relacionados a la comisión mercantil. La principal forma de operar de muchos comisionistas es subcontratando los servicios que ofrecen, solicitamos que se elimine esa prohibición Artículo 49, Fracción III, inciso f) f) Para los casos en que el tercero mantenga Información Personal e Información Sensible, así como imágenes de identificaciones oficiales del Cliente fuera del territorio nacional, la institución de fondos de pago electrónico deberá acreditar que dicha información se encuentre cifrada y que los mecanismos y procedimientos para descifrarla estén en posesión del oficial en jefe de seguridad de la información quien será responsable, en caso de pérdida, de la ejecución de los referidos mecanismos y procedimientos. La medida la consideramos excesiva, tanto por el costo como por el manejo para consulta de los sistemas. Artículo 49, Fracción IV Los mecanismos que permitirán a la institución de fondos de pago electrónico, mantener en sus instalaciones los registros detallados de todas las Operaciones que se realicen, así como de sus registros contables de forma que se asegure la continuidad operativa en todo momento. Dichos registros deberán mantenerse en un formato que permita su consulta y uso, con independencia de que el servicio contratado con el tercero no se encuentre disponible El costo de implementación de esta medida es desproporcionado para la IFPE. Consideramos no necesario mantener en las intalaciones de la IFPE los registros detallas de todas las operaciones, ese es el propósito de tener terceros que se dedican a dar esos servicios y tienen lista la infraestrutura para asegurar un nivel de servicio continuo, la consulta y uso son aseguradas con los terceros. Artículo 49, Fracción VIII, segundo párrafo Evidencia que permita verificar que los terceros tengan e implementen políticas de protección de datos personales y confidencialidad de la información que permitan a la institución de fondos de pago electrónico cumplir con las disposiciones legales que la rigen en la materia. Tratándose de servicios que se procesen, proporcionen o ejecuten total o parcialmente fuera de territorio nacional, las instituciones de fondos de pago electrónico deberán acompañar la documentación que acredite que los terceros residen en países cuyo derecho interno proporciona protección a los datos de las personas, resguardando su debida confidencialidad, o bien, que dichos países mantengan suscritos con México acuerdos internacionales en dicha materia o de intercambio de información entre los organismos supervisores, tratándose de Entidades Financieras…. Este requisito debería ser responsabilidad de la autoridad, la IFPE puede proporcionar datos generales de los terceros para que la autoridad consulte su cumplimiento Artículo 49, último párrafo El Banco de México y la CNBV contarán con un plazo de veinticinco días hábiles para resolver respecto de la solicitud de autorización a que se refiere el presente artículo; transcurrido este plazo sin pronunciamiento alguno, se entenderá la resolución en sentido positivo. Cualquier requerimiento de información adicional que realice el Banco de México o la CNBV interrumpirá el plazo señalado en este párrafo. Solicitamos reducir el plazo a veinte días hábiles, como es para los procesos de otras entidades financieras reguladas Artículo 50, primer párrafo La institución de fondos de pago electrónico que se ubique en los supuestos previstos en este artículo y contrate con algún tercero la prestación de servicios de Cómputo en la Nube para realizar procesos cuya interrupción, parcial o permanente, imposibiliten a la institución de fondos de pago electrónico la emisión, administración, redención o transmisión de fondos de pago electrónico, conforme a los actos a los que refieren las fracciones II, III, IV y V del artículo 22 de la Ley, deberá mantener la capacidad de cómputo y procesamiento necesaria para realizar, al menos, los actos a los que se refiere el presente artículo en territorio nacional, o mantener dicha capacidad a través de un prestador de servicios cuya persona o Grupo de Personas que ejerzan el Control, sean distintos al tercero referido y que esté constituidos y sujetos a jurisdicciones nacionales distintas a aquella en que se haya constituido y quede sujeto dicho tercero. Esto está totalmente desproporcionado respecto a lo que se pide para el inicio de una IFPE vs lo que se requiere para cumplir con los servicios de computo. Con la regulación existente en materia de continuidad y de seguridad, se minimiza y mitigan los riesgos de confidencialidad y disponibilidad de la información. Artículo 51, Fracción V, inciso b) b) Aquella en donde se detallen los mecanismos para asegurar la transmisión y almacenamiento de la información en forma Cifrada, en su caso, incluyendo la versión de los protocolos de Cifrado y componentes de seguridad en la Infraestructura Tecnológica. Es excesivo el costo para el almacenamiento cifrado en términos financieros y en uso de recursos. Vs requerido por las autoridades para la operación de la Fintech, sin embargo existen otros medios para mitigar dichos riesgos. Artículo 57, tercer párrafo Las instituciones de fondos de pago electrónico no podrán contratar los servicios de un Tercero Independiente, ni de las personas morales por medio de las cuales presten los servicios respectivos, para obtener la evaluación de cumplimiento a que se refiere este artículo por más de dos periodos de evaluación consecutivos. Sin perjuicio de lo anterior, la institución de fondos de pago electrónico podrá designar nuevamente al mismo Tercero Independiente o persona moral referida, después de una interrupción mínima de cinco años contados a partir de la última evaluación de cumplimiento que hubiere otorgado respecto de dicha institución. No se ve el beneficio o una ventaja comparado con otros sectores financieros, ya que el costo para la contratación de este tipo de servicios es muy costoso y además que no existen suficientes proveedores en el mercado para este tipo de evaluaciones. Se considera se amplie el plazo para el cambio de proveedor si la evaluación debe ser cada dos años.