Los presentes comentarios al Proyecto de Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera se emiten a nombre de NVIO PAGOS MÉXICO, S.A. DE .C.V, INSTITUCIÓN DE FONDOS DE PAGO ELECTRÓNICO. EN RELACIÓN CON el "Artículo 17- Las instituciones de fondos de pago electrónico deberán contar con procedimientos y mecanismos que permitan estructurar la Información Personal y la Información Sensible almacenada en la Infraestructura Tecnológica, de tal manera que los datos personales de los Clientes no puedan ser relacionados con la información relativa a sus Operaciones, incluyendo, entre otros, los montos, así como los nombres o denominaciones de los receptores o emisores de los pagos realizados por los Clientes. Esta relación solo podrá ser generada a través de algoritmos de consulta diseñados por la institución de fondos de pago electrónico que deberán ser ejecutados a demanda cada vez que sea necesario construir esta relación, ya sea por medio de mecanismos manuales o de los sistemas informáticos." ---> Se sugiere especificar cuál es la finalidad de este requerimiento. La aplicación del algoritmo de consulta mencionado en el Artículo tendría un impacto negativo significativo en el desempeño y rendimiento de las plataformas. Lo anterior, tanto en el desempeño de la infraestructura tecnológica como en la experiencia del usuario. En la práctica es una relación que se deberá de hacer constantemente para una cantidad grande de usuarios y no existe motivo para que esta separación sea necesaria. Adicionalmente, este tipo mecanismos no se les solicita a ninguna otra institución o entidad financiera. EN RELACIÓN CON el "Artículo 26.- Las instituciones de fondos de pago electrónico deberán establecer y documentar políticas y mecanismos para que los Canales de Instrucción solo utilicen aquellos protocolos de comunicación que garanticen la confidencialidad de la información en la comunicación punto a punto, de conformidad con las mejores prácticas y estándares internacionales de seguridad informática en esta materia, emitidas por el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio del Gobierno (National Institute of Standards and Technology, NIST), el Insitituto SANS, y la Fundación OWASP de los Estados Unidos de América. Los mecanismos de cifrado implementados para dichos protocolos de comunicación deberán estar vigentes, no contar con vulnerabilidades conocidas y contemplar que la longitud de las claves de cifrado sean robustas. En caso de que alguna institución de fondos de pago electrónico pretenda utilizar cualquier práctica o estándar distinto a los señalados anteriormente, deberá obtener previamente autorización del Banco de México y de la CNBV. Para estos efectos, las instituciones de fondos de pago electrónico deberán presentar las solicitudes a que se refiere a este artículo al Banco de México y a la CNBV, mediante el Módulo de Atención Electrónica (MAE) Se considera que idealmente los reguladores pudieran definir clara y explícitamente los requisitos mínimos a cumplir por las instituciones con base en los lineamientos que ellos mismos mencionan. Lo anterior, debido a que el criterio actual es muy amplio y no es claro sólo el estándar mínimo requerido, ya que una institución podría cumplir parcialmente con las prácticas y estándares internacionales que mencionan, lo cual no garantiza los mismos estándares de seguridad en todo el sector. Finalmente favor de confirmar, la viabilidad de cumplir con estándares cuya ámbito de aplicación es extraterritorial y fuera de legislación. El acceso a dicha información pudiera no estar garantizado o cambiar de tiempo en tiempo sin cumplirse con los requisitos formales del acto administrativo. del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV." ---> Se considera que idealmente los reguladores pudieran definir clara y explícitamente los requisitos mínimos a cumplir por las instituciones con base en los lineamientos que ellos mismos mencionan. Lo anterior, debido a que el criterio actual es muy amplio y no es claro sólo el estándar mínimo requerido, ya que una institución podría cumplir parcialmente con las prácticas y estándares internacionales que mencionan, lo cual no garantiza los mismos estándares de seguridad en todo el sector. Finalmente favor de confirmar, la viabilidad de cumplir con estándares cuya ámbito de aplicación es extraterritorial y fuera de legislación. El acceso a dicha información pudiera no estar garantizado o cambiar de tiempo en tiempo sin cumplirse con los requisitos formales del acto administrativo. EN RELACIÓN CON el "Artículo 34.- Las instituciones de fondos de pago electrónico deberán contratar a una persona moral, con personal que cuente con capacidad técnica comprobable mediante certificaciones de la industria en la materia, para que, al menos, cada dos años, se realicen pruebas de penetración en los diferentes sistemas y aplicativos de la Infraestructura Tecnológica con la finalidad de detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga o pueda poner en riesgo la información y patrimonio de los Clientes y de la propia institución de fondos de pago electrónico. La institución de fondos de pago electrónico deberá enviar al Banco de México y a la CNBV, dentro de los veinte días hábiles a partir de la fecha en que hayan finalizado las pruebas correspondientes, un informe con las conclusiones de estas, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV. El informe deberá firmarse digitalmente por el director general o, en su caso, el administrador único, y ser cifrado conforme a lo dispuesto en el artículo anterior. Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. En el caso de que, de las pruebas de penetración realizadas, se deriven observaciones de alta o muy alta criticidad, la institución de fondos de pago electrónico de que se trate deberá presentar al Banco de México y a la CNBV, mediante el Módulo de Atención Electrónica (MAE) del Banco de México en términos de las disposiciones aplicables emitidas por el propio Banco de México, y en la oficialía de partes de la CNBV, un plan de remediación documentado para subsanar dichas observaciones, en un plazo no mayor a 20 días hábiles de la finalización de las pruebas de penetración. El plan de remediación deberá firmarse digitalmente por el director general o, en su caso, el administrador único, y ser cifrado conforme lo dispuesto en el artículo anterior. La CNBV y el Banco de México podrán efectuar observaciones, en cualquier tiempo, a dicho plan de remediación." ---> Se sugiere establecer un sólo canal a través del cual se presenten solicitudes e información a Banco de México y a la CNBV, y no a través del Módulo de Atención Electrónica (MAE) para Banco de México, y en la oficialía de partes para la CNBV. EN RELACIÓN CON el "Artículo 36.- El oficial en jefe de seguridad de la información de la institución de fondos de pago electrónico deberá, al menos: I. Participar en la definición, verificar y ser responsable de la implementación y continuo cumplimiento de las políticas y procedimientos de seguridad de la información señalados en las presentes Disposiciones. II. Elaborar el Plan Director de Seguridad, el cual deberá contener, por cada proyecto que se defina, nombre del proyecto, objetivo, alcance, fechas de inicio y fin, áreas involucradas y la inversión proyectada. El plan a que se refiere la presente fracción deberá revisarse Presentar cada vez que se lleve a cabo el Comité de Riesgos (que es de manera trimestral) los reportes del Oficial de Seguridad, en lugar de hacerlo de manera mensual y tener la facultad de tener eventos extraordinarios ya que siempre el Oficial de Seguridad tiene la facultad de presentar reportes al DG y el DG tiene la facultad de presentarlo. En este sentido, la mayoría de los comités no están obligados a celebrar sesión en el periodo de tiempo que determina el artículo. Por lo anterior, es importante flexibilizar la periodicidad con la que se deberá de elaborar y presentar este reporte al director general, o bien, cuando hubieren cambios significativos en el mismo. y actualizarse, al menos, anualmente. III. Verificar, al menos anualmente, la definición de los perfiles de acceso a la Infraestructura Tecnológica de la institución de fondos de pago electrónico, ya sea propia o provista por terceros, de acuerdo con los perfiles de puestos (segregación funcional), incluyendo aquellos con altos privilegios, tales como administración de sistemas operativos, bases de datos y aplicativos. IV. Asegurarse al menos anualmente, o antes en caso de presentarse un Incidente de Seguridad de la Información, de la correcta asignación de los perfiles de acceso a los Usuarios de la Infraestructura Tecnológica. La función a que se refiere esta fracción, podrá realizarse mediante muestras representativas y aleatorias. Asimismo, será responsable de la autorización temporal de los accesos por excepción, tales como los de Usuarios de la Infraestructura Tecnológica de ambientes de desarrollo con accesos a ambientes de producción, accesos por eventos de contingencia o cualquier otro acceso privilegiado que no corresponda con la política determinada por la institución de fondos de pago electrónico. Igualmente, deberá contar con un registro que contenga el nombre del Usuario de la Infraestructura Tecnológica, aplicación asociada, ambiente, motivo de la excepción y fecha de inicio y de fin de la asignación. V. Aprobar y verificar el cumplimiento de las medidas que se hayan adoptado para subsanar deficiencias detectadas con motivo de las funciones a que se refieren las fracciones III y IV de este artículo, así como de los hallazgos, tanto de auditoría interna como externa relacionada con la Infraestructura Tecnológica y de seguridad de la información. VI. Gestionar las alertas de seguridad de la información comunicadas por la CNBV u otros medios, así como los Incidentes de Seguridad de la Información, considerando las etapas de identificación, protección, detección, respuesta y recuperación. VII. Presidir en la institución de fondos de pago electrónico, el equipo para la detección y respuesta de Incidentes de Seguridad de la Información. VIII. Informar al Órgano de Administración o, en caso de contar con un comité de auditoría y un comité de riesgos a estos, en la sesión inmediata siguiente, según resulte aplicable, a la verificación del Incidente de Seguridad de la Información, respecto de las acciones tomadas y del seguimiento a las medidas para prevenir o evitar que se presenten nuevamente los mencionados incidentes. IX. Verificar que se implementen programas anuales de capacitación dirigidos a todo el personal, así como de concientización en materia de seguridad de la información hacia los Clientes incluyendo, en su caso, a terceros que les presten servicios, en los que se contemplen, entre otros aspectos, los roles y responsabilidades que los Usuarios de Infraestructura Tecnológica tengan al respecto. X. Presentar mensualmente al director general o, en su caso, al administrador único, el informe de gestión en materia de seguridad de la información. Este reporte deberá efectuarse al comité de auditoría y al comité de riesgos o, en ausencia de estos, al consejo de administración de la institución de fondos de pago electrónico. XI. Considerar, al menos, los indicadores de riesgo en materia de seguridad de la información establecidos en el Anexo 1 de estas Disposiciones, e informar del resultado de la evaluación de dichos indicadores al Órgano de Administración, y en su caso, al comité de auditoría o comité de riesgos. XII. Responder a los requerimientos formulados por las autoridades y al interior de la institución de fondos de pago electrónico en materia de seguridad de la información. Las instituciones de fondos de pago electrónico deberán asegurarse de que el oficial en jefe de seguridad de la información tenga a su disposición los registros de las personas que cuenten con acceso a la información relacionada con las operaciones en las que interviene la propia institución de fondos de pago electrónico, incluyendo aquellas que se encuentren en el extranjero y de los Usuarios de la Infraestructura Tecnológica que cuenten con altos privilegios, tales como administración de sistemas operativos, bases de datos y aplicativos, así como de sus prestadores de servicios. Las instituciones de fondos de pago electrónico que pertenezcan a un grupo financiero sujeto a la supervisión de la CNBV, o bien, que formen parte de Consorcios o Grupos Empresariales que cuenten con una entidad financiera sujeta a la supervisión de la propia CNBV, podrán asignar las funciones del oficial en jefe de seguridad de la información, a la persona que desempeñe dichas actividades en la entidad financiera supervisada por la CNBV, siempre y cuando dicha persona cumpla con lo establecido en el artículo 35 de estas Disposiciones." ---> Presentar cada vez que se lleve a cabo el Comité de Riesgos (que es de manera trimestral) los reportes del Oficial de Seguridad, en lugar de hacerlo de manera mensual y tener la facultad de tener eventos extraordinarios ya que siempre el Oficial de Seguridad tiene la facultad de presentar reportes al DG y el DG tiene la facultad de presentarlo. En este sentido, la mayoría de los comités no están obligados a celebrar sesión en el periodo de tiempo que determina el artículo. Por lo anterior, es importante flexibilizar la periodicidad con la que se deberá de elaborar y presentar este reporte al director general, o bien, cuando hubieren cambios significativos en el mismo.