Los presentes comentarios al Proyecto de Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera se emiten a nombre de NVIO PAGOS MÉXICO, S.A. DE .C.V, INSTITUCIÓN DE FONDOS DE PAGO ELECTRÓNICO. EN RELACIÓN CON el "Artículo 1.- Para efectos de las presentes Disposiciones, se entenderá, en singular o plural, además de los términos utilizados en la Ley para Regular las Instituciones de Tecnología Financiera, los siguientes:" ---> En este sentido las definiciones de este artículo Se sugiere unificar definiciones en las distintas regulaciones emitidas por CNBV, BANXICO y CONDUSEF. La definición de “Autenticación” que establece el artículo 1 de las Disposiciones es diferente, aunque similar a la ya establecida por las Disposiciones de carácter general aplicables a las Instituciones de Tecnología Financiera (las “Disposiciones generales”), por lo que se considera que podría generar algunas inconsistencias. Consideramos prudente tener una sola definición para el término incorporando para tal efecto la definición contenida en las Disposiciones Generales. La definición de “Evento de Seguridad de la Información” del artículo 1 de las Disposiciones se refiere a un posible indicio de posible afectación, mientras que en las Disposiciones generales, la misma definición habla de una suposición (“que pueda suponer”). Aunque la definición de las Disposiciones generales se refiere explícitamente a instituciones de financiamiento colectivo (IFC), la diferencia en la redacción entre ambas podría generar diferentes interpretaciones y criterios entre instituciones para el mismo tipo de eventos y más aún cuando las ITFs buscan mantener los estándares más altos de seguridad. Se sugiere utilizar la definición de las Disposiciones Generales. Asimismo, la definición de las Disposiciones de “Información sensible” incluye datos del cliente que en términos generales no se incluyen dentro de la definición de datos sensibles de la Ley Federal de Protección de Datos en posesión de Particulares, por lo que, podría llegar a generar distintos criterios de interpretación que dificulten la protección de la información de los clientes, por lo que se sugiere mantener la definición de la Ley. EN RELACIÓN CON el "Artículo 4.- Las instituciones de fondos de pago electrónico deberán notificar a sus respectivos Clientes, en un periodo no mayor a tres segundos, por los medios pactados con ellos que hayan elegido de entre los ofrecidos por dichas instituciones para tal fin, cuando, a través de Canales de Instrucción, se ejecute cualquiera de las Operaciones o se solicite a las instituciones de fondos de pago electrónico alguno de los servicios que ofrezcan, en los siguientes casos: I. Transferencias y entrega de cantidades de dinero derivado del cargo a la Cuenta del Cliente de que se trate, a partir de que el monto acumulado diario de las Operaciones realizadas supere el equivalente en moneda nacional a 60 UDIs, o bien, cuando cada una en lo individual, supere el equivalente en moneda nacional a 25 UDIs; II. Alta o modificación del medio de notificación al Cliente, en cuyo caso la institución de fondos de pago electrónico respectiva deberá enviar la notificación a que este artículo se refiere por el medio previamente pactado con el Cliente así como por el nuevo medio; III. Contratación de otro servicio provisto a través de Canales de Instrucción o modificación de los términos y condiciones para el uso del servicio previamente contratado, y IV. Desactivación, reactivación y modificación de los Factores de Autenticación. Las instituciones de fondos de pago electrónico deberán asegurarse de que la notificación que al efecto envíen conforme a este artículo no contenga Información Personal o Información Sensible del Cliente. No obstante, las instituciones de fondos de pago electrónico deberán Se sugiere revisar los tiempos de notificación, ya que son cortos. Se sugiere revisar los tiempos de notificación, ya que son cortos o en su caso entender el porqué de los tres segundos. Los tiempos para instituciones de banca múltiple son mayores (treinta segundos) y al ser una operación similar, seguir la misma lógica tecnológica. Es importante mencionar que, si bien la institución puede ejecutar los procesos necesarios para notificar al cliente, la institución no podrá asegurar que, en todas las ocasiones, el cliente sea notificado en el tiempo dispuesto en el Artículo 4. Lo anterior se debe a que podrían existir diversos factores que impidan la recepción del mensaje electrónico por parte del usuario. Consideramos que las disposiciones deberían contemplar que la entidad deberá hacer la emisión de la comunicación en el tiempo determinado, pero contemplando que la recepción del mensaje dependerá de distintas condiciones. De igual forma, es importante que se tome en consideración que el cliente deberá de gozar con la libertad de desactivar las notificaciones y comunicación por parte de la institución. La Institución no debería ser obligada a cumplir con el artículo anterior. habilitar mecanismos para que sus Clientes puedan, a su elección, recibir la información del saldo de la Cuenta en virtud de los servicios prestados a través de los Canales de Instrucción." ---> Se sugiere revisar los tiempos de notificación, ya que son cortos. Se sugiere revisar los tiempos de notificación, ya que son cortos o en su caso entender el porqué de los tres segundos. Los tiempos para instituciones de banca múltiple son mayores (treinta segundos) y al ser una operación similar, seguir la misma lógica tecnológica. Es importante mencionar que, si bien la institución puede ejecutar los procesos necesarios para notificar al cliente, la institución no podrá asegurar que, en todas las ocasiones, el cliente sea notificado en el tiempo dispuesto en el Artículo 4. Lo anterior se debe a que podrían existir diversos factores que impidan la recepción del mensaje electrónico por parte del usuario. Consideramos que las disposiciones deberían contemplar que la entidad deberá hacer la emisión de la comunicación en el tiempo determinado, pero contemplando que la recepción del mensaje dependerá de distintas condiciones. De igual forma, es importante que se tome en consideración que el cliente deberá de gozar con la libertad de desactivar las notificaciones y comunicación por parte de la institución. La Institución no debería ser obligada a cumplir con el artículo anterior. EN RELACIÓN CON el "Artículo 6.- Las instituciones de fondos de pago electrónico podrán solicitar a la CNBV y al Banco de México que autoricen el uso de Factores de Autenticación referidos en las fracciones I y II del artículo anterior con características distintas a las señaladas en dicho artículo, así como la utilización de la información señalada en la fracción III de dicho artículo, siempre que acrediten que la tecnología utilizada, a juicio de ambas Autoridades Financieras, resulta fiable para autenticar a sus Clientes. La solicitud para obtener la referida autorización deberá contener lo siguiente: I. La descripción detallada del proceso, el cual deberá ser aprobado por el Órgano de Administración, así como la tecnología empleada en cada parte de este. II. La descripción de los medios necesarios para la transmisión y resguardo de la información que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación, así como su adecuada conservación y disponibilidad. Para el caso de la fracción III del artículo 5 de estas Disposiciones, la institución de fondos de pago electrónico que formule la solicitud referida deberá presentar adicionalmente la evidencia recabada de pruebas controladas, obtenida por la misma institución de fondos de pago electrónico o por una empresa especializada en certificación de tales Se sugiere unificar el canal de comunicación para hacer más eficiente la presentación y recepción de la solicitud. Se puede considerar habilitar el canal por medio de la plataforma Suptech. En términos generales, se sugiere establecer plazos específicos para el proceso de respuesta. Factores de Autenticación, con la capacidad de presentar reportes, de que la solución tecnológica y los métodos utilizados son efectivos para autenticar a sus Clientes, comparando la eficacia del Factor de Autenticación de que se trate con aquella de algún otro Factor de Autenticación recabado y procesado de conformidad con los estándares internacionales correspondientes. Las instituciones de fondos de pago electrónico deberán contar con mecanismos y procedimientos para asegurar que, en el uso de los Factores de Autenticación a que se refiere la fracción III del artículo 5, la información transmitida para el proceso de Autenticación sea distinta cada vez que sea generada, de forma que en ningún caso se pueda utilizar nuevamente o duplicarse. Las instituciones de fondos de pago electrónico deberán presentar las solicitudes y demás información a que se refiere a este artículo al Banco de México y a la CNBV, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficilía de partes de la CNBV." ---> En este sentido, Se sugiere unificar el canal de comunicación para hacer más eficiente la presentación y recepción de la solicitud. Se puede considerar habilitar el canal por medio de la plataforma Suptech. En términos generales, se sugiere establecer plazos específicos para el proceso de respuesta.