LINEAMIENTOS generales para el intercambio de información entre instituciones de crédito por medio de la plataforma tecnológica que opere el Banco de México sobre las transferencias de fondos nacionales en moneda extranjera e internacionales en cualquier LINEAMIENTOS generales para el intercambio de información entre instituciones de crédito por medio de la plataforma tecnológica que opere el Banco de México sobre las transferencias de fondos nacionales en moneda extranjera e internacionales en cualquier moneda, de conformidad con las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.- Banco de México.
El Banco de México, con fundamento en lo dispuesto por los artículos 36 y 62, fracción I, de la Ley del Banco de México, así como 14 Bis, en relación con el 17, fracción VI, y 15, en relación con el 20, fracciones IV y XI, del Reglamento Interior del Banco de México y 62 ª Quáter, fracción II, inciso a) de las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito", la Secretaría de Hacienda y Crédito Público, con fundamento en lo dispuesto por el artículo 6, fracción XXXIV, del Reglamento Interior de la Secretaría de Hacienda y Crédito Público, así como la disposición 62 ª Quáter, fracción II, inciso a), antes citada, y la Comisión Nacional Bancaria y de Valores, con fundamento en lo dispuesto por los artículos 4, fracciones XXXVI y XXXVIII; 16, fracción I de la Ley de la Comisión Nacional Bancaria y de Valores, y la disposición 62 ª Quáter, fracción II, inciso a), antes citada, y
CONSIDERANDO
Que de conformidad con los artículos 52 y 115 Bis de la Ley de Instituciones de Crédito, las instituciones de crédito pueden intercambiar información en términos de las Disposiciones de carácter general a que se refiere el artículo 115 de ese ordenamiento legal, con el fin de fortalecer las medidas para prevenir y detectar actos, omisiones, u operaciones que pudieran favorecer, prestar ayuda, auxilio, o cooperación de cualquier especie para la comisión de los delitos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo;
Que con base en lo anterior, la 62 ª Quáter, fracción II, inciso a), de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, prevé la facultad de la Secretaría de Hacienda y Crédito Público, de la Comisión Nacional Bancaria y de Valores y del Banco de México para emitir lineamientos generales que resultarán aplicables a la plataforma tecnológica que opere el Banco de México, para el intercambio de información sobre las transferencias de fondos nacionales en moneda extranjera, así como de transferencias de fondos internacionales que envíen o reciban las instituciones de crédito;
Que el Banco de México cuenta con la infraestructura tecnológica necesaria para operar la plataforma a que se refiere la 62 ª Quáter, fracción II, inciso a), de las Disposiciones mencionadas en el Considerando anterior;
Que es necesario establecer los procedimientos, formatos, términos y condiciones de uso, características, condiciones de infraestructura, aplicaciones informáticas y medidas de seguridad aplicables a la plataforma tecnológica que opere el Banco de México de conformidad con la 62 ª Quáter de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, a fin de que las instituciones de crédito estén en posibilidad de intercambiar entre sí información sobre sus transferencias de fondos que envíen o reciban a nombre o por cuenta propia o de sus clientes y usuarios, con el objeto de prevenir e identificar las operaciones con recursos de procedencia ilícita;
Que para proporcionar la información a que se refiere la 62 ª Quáter de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito a la plataforma tecnológica que opere el Banco de México, es necesario contar con el consentimiento del cliente o usuario con quien las instituciones de crédito guarden relación;
Que tomando en cuenta lo anterior, han tenido a bien expedir los siguientes:
Lineamientos generales para el intercambio de información entre instituciones de crédito por medio de la
plataforma tecnológica que opere el Banco de México sobre las transferencias de fondos nacionales en moneda
extranjera e internacionales en cualquier moneda, de conformidad con las Disposiciones de carácter general a que
se refiere el artículo 115 de la Ley de Instituciones de Crédito
PRIMERO.- Los presentes Lineamientos Generales tienen por objeto establecer los procedimientos, formatos, términos y condiciones de uso, así como las características, condiciones de infraestructura, aplicaciones informáticas y medidas de seguridad de la plataforma tecnológica que opere el Banco de México a fin de que las instituciones de crédito proporcionen la información sobre las transferencias de fondos nacionales en moneda extranjera y las internacionales en cualquier moneda, que envíen o reciban a nombre o por cuenta propia o de sus Clientes o Usuarios, así como para que las propias instituciones puedan obtener la información de este tipo de transferencias que envíen o reciban a nombre o por cuenta de sus Clientes o Usuarios, en términos de la 62 ª Quáter de las Disposiciones de carácter general a que se refiere el artículo
115 de la Ley de Instituciones de Crédito.
El Banco de México tendrá el carácter de prestador de servicios de la plataforma que opere en términos del párrafo anterior al amparo de los contratos que celebre al efecto con las instituciones de crédito.
SEGUNDO.- Para efectos de los presentes Lineamientos, los términos utilizados en éstos tendrán los mismos significados que los incluidos en las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito. Adicionalmente, se deberá entender en singular o en plural, sin que por ello cambie su significado, por:
| Autoridades:
| al Banco de México, a la Comisión y a la Secretaría, conjunta o indistintamente. |
| Base de Datos de
Transferencias:
| a la plataforma tecnológica que opere el Banco de México, para los efectos de la 62 ª Quáter de las Disposiciones señaladas en el primer párrafo de este Lineamiento, con relación a la información de las transferencias de fondos nacionales en moneda extranjera e internacionales en cualquier moneda que envíen o reciban las Entidades. |
| Certificado Digital:
| al mensaje de datos en formato digital generado en términos de las Reglas para operar como Agencia Registradora y/o Agencia Certificadora en la Infraestructura Extendida de Seguridad, emitidas por el Banco de México mediante la Circular-Telefax 6/2005, según sean modificadas o sustituidas con posterioridad a su emisión. |
| Día Hábil Bancario:
| al día en que las Entidades no estén obligadas a cerrar sus puertas ni suspender Operaciones, en términos de las disposiciones de carácter general que, para tal efecto, emita la Comisión de conformidad con el artículo 95 de la Ley. |
| Disposiciones:
| a las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, emitidas por la Secretaría. |
| Entidad Acreditada:
| a la Entidad que, de conformidad con el contrato de prestación de servicios que celebre con el Banco de México, tenga acceso a la Base de Datos de Transferencias para los efectos de las Disposiciones. |
| Firma Electrónica:
| a aquella generada de conformidad con las Reglas para operar como Agencia Registradora y/o Agencia Certificadora en la Infraestructura Extendida de Seguridad, emitidas por el Banco de México mediante la Circular-Telefax 6/2005, según sean modificadas o sustituidas con posterioridad a su emisión. |
| Formulario de
Transferencias:
| al formato con los campos de los datos que integren la Información objeto de la Base de Datos de Transferencias, según se indican en el Manual, que las Entidades Acreditadas deberán utilizar para la entrega de la Información a la propia Base de Datos de Transferencias. |
| Funcionario Autorizado:
| al representante de la Entidad Acreditada de que se trate que, para efectos de la 62 ª Quáter, fracción III de las Disposiciones, esté registrado en el Banco de México para consultar, a nombre de dicha Entidad, la Información respectiva de la Base de Datos de Transferencias. |
| Información:
| a aquella compuesta por los datos sobre las transferencias de fondos nacionales en moneda extranjera e internacionales en cualquier moneda que las Entidades Acreditadas deban reportar a la Base de Datos de Transferencias, así como aquella otra información derivada de dichos datos que las propias Entidades deban consultar, de conformidad con lo dispuesto en la 16 ª, fracción IV; 25 ª Ter y 62 ª Quáter de las Disposiciones. |
| Infraestructura Tecnológica:
| a la infraestructura de cómputo, telecomunicaciones, software, aplicaciones informáticas y demás herramientas que sean utilizadas por las Entidades Acreditadas para interconectarse y operar la Base de Datos de Transferencias. |
| Lineamientos:
| a los presentes Lineamientos generales. |
| Manual:
| al documento que el Banco de México emita y ponga a disposición de las Entidades Acreditadas, así como de aquellas Entidades interesadas en tener acceso a la Base de Datos de Transferencias, previa celebración del contrato de confidencialidad a que se refiere el Lineamiento TERCERO siguiente, el cual contiene las especificaciones técnicas y operativas para que las Entidades Acreditadas establezcan y mantengan el acceso a la Base de Datos de Transferencias, así como las especificaciones para entregar y obtener la Información respectiva. |
TERCERO.- La Entidad interesada en proporcionar y consultar la Información a través de la Base de Datos de Transferencias, de conformidad con las Disposiciones, deberá presentar al Banco de México una solicitud mediante comunicación digital dirigida a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos conforme a lo establecido en el Lineamiento VIGÉSIMO SÉPTIMO, la cual deberá contener la Firma Electrónica del director general o de algún funcionario de la Entidad que ocupe un cargo con jerarquía de entre los dos niveles inmediatos inferiores al de aquel, y que en todo caso cuente con poderes de administración o de dominio.
Las Entidades interesadas, así como aquellas que adquieran el carácter de Entidades Acreditadas, deberán, por una parte, guardar estricta confidencialidad respecto de todos los datos, especificaciones técnicas y operativas y demás información, incluida la Información objeto de los presentes Lineamientos, sean expresados en forma oral, escrita, gráfica, electrónica o en cualquier otra forma, que le sean proporcionados por el Banco de México con motivo de su solicitud de ingreso y, en su caso, de su operación con la Base de Datos de Transferencias y, por otra parte, utilizar todos esos datos e información exclusivamente para los efectos previstos en la 62 ª Quáter de las Disposiciones. Asimismo, las Entidades interesadas y Entidades Acreditadas únicamente darán acceso a la información referida a aquellas personas que necesariamente deban conocerla para dar cumplimiento a la 62 ª Quáter de las Disposiciones, así como a estos Lineamientos, y asumirán la responsabilidad por el uso que su personal, representantes, administradores, directores, comisionistas, apoderados, empleados, factores, dependientes o cualquier persona relacionada con la Entidad, hagan de la mencionada información.
Las Entidades anteriormente referidas deberán guardar la confidencialidad señalada, con independencia de que no adquieran o pierdan el carácter de Entidades Acreditadas.
Para efectos de la confidencialidad que las Entidades deben guardar conforme a lo anterior, previamente a la presentación de la solicitud a que se refiere el primer párrafo del presente Lineamiento, la Entidad interesada deberá celebrar con el Banco de México un contrato unilateral de confidencialidad, suscrito por alguno de los representantes indicados en el primer párrafo del presente Lineamiento, en términos del clausulado que el Banco de México, por medio de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos, ponga a disposición de las Entidades interesadas.
La Entidad interesada deberá acompañar la solicitud que presente al Banco de México, conforme al presente Lineamiento, con un informe suscrito por el titular de su área de auditoría interna en el que manifieste que la Entidad cumple con los requisitos previstos en el Lineamiento CUARTO, de acuerdo con la revisión que dicho titular haya realizado al efecto, en términos de los presentes Lineamientos y el Manual.
CUARTO.- La Entidad que presente la solicitud a que se refiere el Lineamiento anterior deberá demostrar al Banco de México que cumple cabalmente con los requisitos de las materias que se indican a continuación, en términos de las especificaciones establecidas en el Manual.
Al respecto, la Entidad señalada deberá considerar e incluir en las políticas y procedimientos que se obligue a seguir para dar cumplimiento a los referidos requisitos, lo siguiente:
A. En materia de seguridad informática:
1. Que el área que la Entidad mantenga para realizar funciones de seguridad de la información, verifique que la administración y operación de la Infraestructura Tecnológica se lleve a cabo conforme a las políticas y procedimientos de seguridad informática correspondientes.
2. Que la Entidad procure y mantenga la solidez de la Infraestructura Tecnológica, para lo cual deberá establecer y seguir, al menos, los procedimientos siguientes:
a) Aquellos para evaluar los protocolos de comunicación utilizados en la Infraestructura
Tecnológica y prescindir de los que se consideren inseguros conforme a lo especificado en el Manual.
b) Los que contemplen el uso obligatorio de herramientas que permitan detectar virus informáticos y códigos maliciosos en la Infraestructura Tecnológica, así como aquellos que permitan la actualización periódica de dichas herramientas conforme a lo especificado en el Manual.
c) Los que permitan identificar y mitigar las vulnerabilidades de seguridad informática derivadas de cambios, actualizaciones o errores en la Infraestructura Tecnológica, entre otros factores.
d) Los que inhiban la instalación de cualquier servicio, aplicación o software que no sea indispensable para la operación entre la Base de Datos de Transferencias y la Infraestructura Tecnológica.
e) Los que permitan detectar y gestionar incidentes de seguridad informática en la Infraestructura Tecnológica que, a su vez, permitan identificar de qué tipo de incidentes se trata, así como contener, recolectar y resguardar adecuadamente la evidencia de seguridad informática para su notificación al comité de riesgos y al área de contraloría de la Entidad a que se refieren las Disposiciones de carácter general aplicables a las instituciones de crédito, emitidas por la Comisión.
f) Aquellos para evaluar, al menos cada dos años, la seguridad informática de la Infraestructura Tecnológica, que incluyan la realización de pruebas de penetración por un tercero independiente especializado en dicha materia. Al efecto, la Entidad deberá elaborar un reporte que establezca el nivel de riesgo tecnológico al que está sujeta, así como la conformación de un plan de trabajo documentado para atender los riesgos que la propia Entidad catalogue como vulnerabilidades, entendidos como aquellos riesgos que puedan afectar la seguridad y continuidad de negocio de su Infraestructura Tecnológica, con base en un análisis de riesgos tecnológicos y operativos.
3. Que para la implementación de los sistemas informáticos de la Entidad, utilizados para consultar la Información, ya sea por parte de ella o por alguna empresa externa especializada en el desarrollo de programas de cómputo (software), incluyan, al menos, los procedimientos siguientes:
a) Los que aseguren que se sigue un proceso de desarrollo formal y documentado para la implementación de sus sistemas informáticos. Dicho proceso de desarrollo deberá considerar, al menos, las siguientes etapas:
i. Diseño y desarrollo de los sistemas informáticos.
ii. Validación de funcionalidades, propósito, capacidad y calidad de los sistemas informáticos.
iii. Implantación de los sistemas informáticos.
iv. Seguimiento formal a cambios en los sistemas informáticos.
b) Los que aseguren que los aspectos de seguridad informática sean considerados durante las diferentes etapas de su proceso de desarrollo.
c) Los que aseguren que los componentes que brindan seguridad a sus sistemas informáticos se encuentren vigentes conforme a los términos y plazos establecidos en el Manual.
d) Los que permitan que la seguridad de los sistemas informáticos sea revisada de forma estática mediante un análisis del código fuente, así como dinámica, mediante una evaluación del código en ejecución.
e) Los que permitan vigilar, auditar y rastrear los accesos y actividades realizadas por los diferentes usuarios de los servicios informáticos con independencia del nivel de privilegios que se establezca para su acceso y el medio o protocolo de comunicación. Estos procedimientos deberán considerar el resguardo de la información recabada por un periodo de, al menos, 12 meses.
f) Los que permitan vigilar, auditar y rastrear toda la actividad realizada a través de la Infraestructura Tecnológica para consultar la Información. Estos procedimientos deberán considerar el resguardo de la información recabada por un periodo de, al menos, 12 meses.
4. Que permitan a la Entidad manejar de manera segura la Información almacenada en forma electrónica y que incluyan, al menos, los procedimientos siguientes:
a) Los que aseguren que, al desechar o dar de baja componentes o dispositivos físicos (hardware) de la Infraestructura Tecnológica, toda la Información que estos hayan contenido sea irrecuperable.
b) Los que permitan restringir el acceso a los puertos físicos de conexión y dispositivos periféricos de la Infraestructura Tecnológica.
c) Aquellos establecidos para el resguardo de Información de la Infraestructura Tecnológica y operativa.
d) Los que permitan detectar la alteración o falsificación de la Información contenida en la Infraestructura Tecnológica.
e) Los que permitan cifrar la Información sensible en la Infraestructura Tecnológica.
5. Que la Entidad implemente mecanismos de control de acceso a la Infraestructura Tecnológica, considerando, al menos, los procedimientos establecidos para:
a) La implementación de mecanismos y controles robustos de acceso lógico a la Infraestructura Tecnológica.
b) Permitir una gestión de usuarios y contraseñas.
c) Permitir el bloqueo manual y automático de la Infraestructura Tecnológica para asegurar que los equipos solo puedan ser utilizados por personal autorizado.
d) Permitir la gestión de privilegios de acceso a la Infraestructura Tecnológica.
e) Auditar los accesos y actividades realizadas por los usuarios de la Infraestructura Tecnológica. Estos procedimientos deberán considerar el resguardo de la información recabada por un periodo de, al menos, 12 meses.
6. Que la Entidad realice la comunicación con el Banco de México, de manera segura y eficiente, considerando lo siguiente:
a) Permitir la gestión de una red de telecomunicaciones que favorezca la referida comunicación con el Banco de México y la restricción de acceso a la Información.
b) Restringir el acceso a Internet desde la Infraestructura Tecnológica.
B. En materia de gestión de riesgo operacional:
1. Que la metodología para la gestión del riesgo operacional que tengan desarrollada contemple que, en la operación con la Base de Datos de Transferencias, se considere la identificación y evaluación de dicho riesgo, así como la implementación de controles para mitigarlo.
2. Que los requisitos de contratación y de capacitación aseguren que el personal relacionado con la operación de la Base de Datos de Transferencias cuente con las habilidades, competencias y conocimientos requeridos para el puesto que desempeña.
3. Que cuente con manuales de procedimientos y de operación con la Base de Datos de Transferencias, que describan, al menos, los procesos automáticos y semi-automáticos descritos en los incisos a) a e) del presente numeral, indicando los cargos y funciones del personal responsable de ejecutar las actividades de dichos procesos, incluyendo aquellos con acceso a la Información de la Base de Datos de Transferencias:
a) Para la obtención de Información que se reporta a través del Formulario de Transferencias, incluyendo el proceso para informar cancelaciones.
b) Para la consulta en la Base de Datos de Transferencias, incluyendo la periodicidad de la consulta.
c) Para el manejo de la Información obtenida de la Base de Datos de Transferencias.
d) Para el monitoreo y soporte de la operación de la Entidad Acreditada con la Base de Datos de Transferencias.
e) Los relacionados con la obtención del consentimiento de los Clientes o Usuarios para llevar a cabo la consulta de su Información.
4. Que cuente con un listado de los riesgos identificados en la operación de la Base de Datos de
Transferencias y sus respectivos controles. En dicho listado, la Entidad deberá incluir, al menos, los factores humanos, tecnológicos, de proceso y externos, incluyendo los asociados con los proveedores.
5. Que cuente con lineamientos para la gestión de controles de acceso físico a los sitios operativos donde se realiza la operación de la Base de Datos de Transferencias y a los centros de datos que alojan la Infraestructura Tecnológica.
C. En materia de controles internos de flujos de información desde las áreas dedicadas a las labores de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo a aquellas de negocio:
1. Que la Entidad asegure el uso adecuado de la Información que obtenga a través de consultas a la Base de Datos de Transferencias, considerando, al menos, lo siguiente:
a) Establecer una estructura organizacional que asegure que el personal que tenga acceso a la Información de la Base de Datos de Transferencias sea exclusivamente aquel que lo requiere para darle el uso previsto en la 16 ª, fracción IV; 25 ª Ter y 62 ª Quáter de las Disposiciones; dicho personal siempre deberá ser aquel que esté asignado en las áreas de la Entidad donde recaigan las funciones de auditoría, o gestión de riesgos, o cumplimiento normativo, o aquellas áreas especializadas en análisis de datos susceptible de intercambiarse para efectos de las Disposiciones, o aquellas áreas de tecnologías de la información, o aquellas áreas a cargo del funcionario denominado Oficial de Cumplimiento a que se refieren las Disposiciones, que, para el desempeño de sus funciones estén relacionadas con la prevención y detección de actos, omisiones u operaciones que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de los delitos previstos en los artículos 139 Quáter o 400 Bis del Código Penal Federal o demás delitos en contra de la clientela o de la propia Entidad, y requieran tener acceso a dicha Información. En todo caso, el Oficial de Cumplimiento deberá aprobar el personal que tendrá acceso a la Información.
b) Contar con manuales de procedimientos de operación, que explícitamente incluyan:
i. La indicación del personal con acceso a la Información y la prohibición de dar acceso a la Información a personal externo a la Entidad, con la salvedad de los prestadores de servicios a que refiere el Lineamiento QUINTO, que quedarán sujetos a lo previsto en la fracción I, inciso d), del mencionado Lineamiento.
ii. La obligación para el personal de la Entidad de mantener estricta confidencialidad de la Información.
iii. La prohibición del uso de la Información para propósitos distintos a lo previsto en la 16 ª, fracción IV; 25 ª Ter y 62 ª Quáter de las Disposiciones.
D. En materia de certificación de la Infraestructura Tecnológica que utilizarán las Entidades Acreditadas para consultar la Base de Datos de Transferencias y del esquema de conexión con los sistemas del Banco de México establecidos al efecto, la Entidad deberá cumplir con las especificaciones técnicas incluidas en el Manual, así como con los siguientes requisitos:
1. Acreditar que las aplicaciones informáticas que la Entidad utilizará en relación con los esquemas de conectividad con los sistemas del Banco de México, señalados en los incisos a) y b) del presente numeral, cumplen con el protocolo de consulta de la Base de Datos de Transferencias establecido al efecto por el Banco de México conforme a las especificaciones técnicas indicadas en el Manual, y que se relacionan con los siguientes esquemas:
a) Servicio web.
La Entidad podrá conectarse al servicio web que el Banco de México ponga a su disposición para la consulta de Información de carácter estadístico transaccional.
b) Aplicativo web.
La Entidad podrá realizar la consulta de Información de carácter estadístico transaccional mediante el aplicativo web que el Banco de México desarrolle para tal efecto.
2. Validar que pueda operar con la Infraestructura Tecnológica que, en su caso, el Banco de México haya instrumentado para la operación de la Base de Datos de Transferencias en casos de contingencia.
La Entidad deberá implementar el esquema de conexión que le indique el Banco de México para conectarse con este y consultar la Base de Datos de Transferencias, en términos de lo establecido en el Apéndice del Manual titulado "Esquema de conexión con Banco de México".
QUINTO.- La Entidad interesada en tener acceso a la Base de Datos de Transferencias, así como cualquier Entidad Acreditada, podrá pactar con terceros la prestación de servicios informáticos para la conexión y operación que la Entidad respectiva deba establecer con la Base de Datos de Transferencias, de conformidad con lo dispuesto en el Lineamiento CUARTO, apartado A, numeral 3, siempre y cuando el Banco de México, previamente, haya manifestado expresamente su aceptación respecto a los términos y condiciones establecidos por dicha Entidad para la prestación de esos servicios, de acuerdo con la solicitud que, para ello, le deba presentar la Entidad o la Entidad Acreditada, a través de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos. En caso de que el Banco de México no haya notificado su resolución respecto de la solicitud referida en un plazo de 45 Días Hábiles Bancarios posteriores a aquel en que esta haya sido presentada o, en su caso, a aquel en que la Entidad haya entregado la información requerida por el Banco de México con motivo de dicha solicitud, esta se entenderá denegada.
Junto con la solicitud a que se refiere el párrafo anterior, la Entidad o la Entidad Acreditada deberá proporcionar, respecto del tercero con el cual pretenda acordar la prestación del servicio respectivo, la documentación e información que se señala a continuación:
I. Proyecto de contrato o instrumento jurídico que pretenda celebrar con el tercero, en el cual, por una parte, este manifieste expresamente su voluntad, respecto de los servicios materia de contratación, de sujetarse incondicionalmente a los presentes Lineamientos y al Manual que le resulten aplicables, así como a todas aquellas obligaciones a las que se sujeta la Entidad o la Entidad Acreditada relacionadas con el servicio contratado y, por otra parte, queden incluidas las penas convencionales aplicables, así como, de manera enunciativa y no limitativa, las siguientes obligaciones a cargo del tercero:
a) Permitir que el personal del Banco de México realice visitas a las oficinas y demás instalaciones, incluyendo revisiones a los equipos de ese tercero para verificar el cumplimiento de los requisitos aplicables a que se refieren los presentes Lineamientos y el Manual.
b) Proporcionar al Banco de México la información que solicite en los plazos que indique.
c) Permitir que la Entidad o la Entidad Acreditada que lo haya contratado, así como un tercero independiente especializado contratado por la citada Entidad o Entidad Acreditada, realicen las revisiones y auditorías que correspondan y que, para ello, tengan acceso a sus instalaciones y equipos, y le proporcionen los libros, códigos de sistemas, registros, manuales y documentos e información en general relacionados con la prestación del servicio.
d) Guardar confidencialidad respecto de los datos, especificaciones y demás información relativa a los aspectos técnicos del funcionamiento de la Base de Datos de Transferencias, incluida la Información objeto de los presentes Lineamientos a la que por la naturaleza de sus funciones tenga acceso, así como de la información que, conforme a la legislación aplicable, deba ser tratada con el carácter de confidencial y que recabe como parte de las actividades que realice al amparo del contrato o instrumento jurídico que celebre con la Entidad o la Entidad Acreditada.
e) Contar, en su caso, con normas de seguridad que se ajusten a lo establecido en el Manual.
f) Abstenerse de subcontratar o delegar de cualquier forma a otro tercero la realización de los servicios que preste a la Entidad o Entidad Acreditada.
II. Aquella que haga constar la aprobación del consejo de administración de la Entidad o la Entidad Acreditada, en la cual deberá constar que:
a) La contratación de los servicios ofrecidos por el tercero no pone en riesgo el cumplimiento de las disposiciones aplicables a la Entidad o a la Entidad Acreditada respecto de su operación en la Base de Datos de Transferencias y del uso de la Información en términos de las Disposiciones.
b) Las prácticas de negocio del tercero, de acuerdo con la revisión realizada al efecto, son consistentes con la operación de la Entidad o la Entidad Acreditada.
III. Documentos que acrediten la experiencia, capacidad técnica y suficiencia de recursos humanos del tercero respecto de los servicios materia de contratación.
IV. El procedimiento que ofrezca el tercero a la Entidad o a la Entidad Acreditada para identificar, medir, vigilar, limitar, controlar, informar y revelar los riesgos que puedan derivarse de la prestación de sus
servicios.
V. Los mecanismos para la solución de controversias, pactados entre la Entidad o la Entidad Acreditada y el tercero, relativas al contrato o instrumento jurídico que hayan celebrado.
VI. El procedimiento para evaluar el desempeño del tercero en la prestación de los servicios y el cumplimiento de sus obligaciones contractuales.
VII. El documento que describa las acciones que las partes llevarán a cabo para la terminación ordenada del contrato de prestación de servicios, en el evento de que esta se suspenda y no sea posible sustituir inmediatamente al tercero para continuar realizando los servicios correspondientes.
VIII. Aquella otra documentación, información y certificaciones que el Banco de México solicite a la Entidad o a la Entidad Acreditada en relación con el cumplimiento de estos Lineamientos y el Manual.
SEXTO.- En el evento de que una Entidad o la Entidad Acreditada pretenda celebrar un contrato con algún tercero contemplado en el Lineamiento anterior y este vaya a prestar el servicio respectivo total o parcialmente fuera del territorio nacional, además de los requisitos establecidos en dicho Lineamiento, las referidas Entidades deberán:
I. Acreditar que el tercero mantiene su principal asiento de negocios y que prestará el servicio respectivo en un país cuyo sistema jurídico nacional proporcione protección a los datos de las personas bajo principios substancialmente similares a los previstos por la legislación mexicana, o bien, que mantenga en vigor acuerdos internacionales celebrados con el Estado Mexicano en materia de protección de datos personales, y que, en cualquier caso, se permita el intercambio de información con autoridades competentes del exterior.
II. Prever adicionalmente, en la constancia de la aprobación del consejo de administración a que se refiere la fracción II del Lineamiento QUINTO, que no habrá impacto en la continuidad operativa de la Entidad o la Entidad Acreditada en su operación con la Base de Datos de Transferencias, con motivo de la distancia geográfica y, en su caso, del lenguaje que se utilizará en la prestación del servicio.
III. Contar con esquemas de soporte técnico que permitan solucionar problemas e incidencias, con independencia de las diferencias que, en su caso, existan en husos horarios y días hábiles.
Adicionalmente, en el evento de que alguna autoridad del país de origen del tercero a que se refiere este Lineamiento le requiera información relacionada con los servicios que le presta a la Entidad o a la Entidad Acreditada, aquel deberá, tan pronto como sea jurídicamente posible, informar de ello a esa Entidad o a la Entidad Acreditada, así como proporcionarle copia de la información que haya entregado a dicha autoridad. En este caso, la Entidad o la Entidad Acreditada deberán informar a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos del Banco de México de tal situación inmediatamente después de que tenga conocimiento de ello, así como proporcionarle copia de la información referida, a efecto de que el propio Banco de México informe, en su caso, a la autoridad mexicana competente.
SÉPTIMO.- La documentación a que se refieren los Lineamientos QUINTO y SEXTO deberá quedar, en todo momento, a disposición del Banco de México, en el domicilio de la Entidad o de la Entidad Acreditada, sin perjuicio de la facultad de este último para requerir a las Entidades y a las Entidades Acreditadas que le entreguen aquella información y documentación necesaria en relación con la operación en la Base de Datos de Transferencias de conformidad con los presentes Lineamientos y el Manual.
El Banco de México deberá manifestar previamente a la Entidad o a la Entidad Acreditada su aceptación a cualquier modificación al contrato o instrumento jurídico que esta pretenda celebrar con el tercero, de acuerdo con la solicitud que, al efecto, le presente por medio de una comunicación elaborada conforme al Lineamiento VIGÉSIMO SÉPTIMO y dirigida a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos del Banco de México. En caso de que el Banco de México no haya notificado su resolución respecto de la solicitud referida en un plazo de 45 Días Hábiles Bancarios posteriores a aquel en que esta haya sido presentada o, en su caso, a aquel en que la Entidad haya entregado la información requerida por el Banco de México con motivo de dicha solicitud, esta se entenderá denegada.
De igual forma, la Entidad o la Entidad Acreditada deberán informar a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos del Banco de México respecto de cualquier reforma al objeto social del tercero o modificaciones a su organización interna, que puedan afectar la prestación del servicio, por lo menos con cinco Días Hábiles Bancarios de anticipación a que estas se lleven a cabo,
conforme a lo establecido en el Lineamiento VIGÉSIMO SÉPTIMO.
En caso de que la documentación a que se refieren los Lineamientos QUINTO y SEXTO esté en un idioma distinto al español, deberá presentarse ante el Banco de México junto con su correspondiente traducción debidamente legalizada, cuando así le sea requerido.
OCTAVO.- La Entidad o la Entidad Acreditada responderá en todo momento por los servicios prestados por terceros, aun cuando estos se lleven a cabo en términos distintos a los pactados. De igual forma, la Entidad o la Entidad Acreditada responderá por las acciones de dichos terceros que deriven en incumplimiento a los presentes Lineamientos, al Manual o a cualquier otra disposición aplicable en la operación con la Base de Datos de Transferencias. Lo anterior, procederá sin perjuicio de las responsabilidades civiles, administrativas o penales en que dichos terceros puedan incurrir por las violaciones a las disposiciones legales aplicables.
Lo señalado en el presente Lineamiento deberá preverse expresamente en el contrato o instrumento jurídico que celebren la Entidad o Entidad Acreditada y el tercero.
NOVENO.- La Entidad Acreditada deberá suspender el servicio prestado por el tercero cuando advierta cambios en la operación de este que puedan afectar el cumplimiento de los presentes Lineamientos, el Manual, o bien, cuando identifique o tenga conocimiento del incumplimiento por parte del tercero a la normatividad aplicable, así como a las obligaciones a que se refiere el QUINTO de los presentes Lineamientos.
Con independencia de lo señalado en el párrafo anterior, la Entidad Acreditada deberá informar al Banco de México, mediante comunicación elaborada conforme a lo establecido en el Lineamiento VIGÉSIMO SÉPTIMO y dirigida a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos sobre la suspensión o terminación de la prestación del servicio por parte del tercero, las causas que la motivan, así como las acciones que se encuentran realizando para la continuidad de su operación, con al menos treinta días naturales previos a la fecha de suspensión o terminación de la prestación del servicio.
DÉCIMO.- Las Entidades deberán proporcionar al Banco de México la documentación y llevar a cabo la ejecución de pruebas que este les requiera, adicionalmente a aquella documentación que entregue como parte del informe al que se refiere el Lineamiento TERCERO, para acreditar el cumplimiento de los requisitos de seguridad informática, gestión del riesgo operacional y controles internos de flujo de información relacionados con su operación con la Base de Datos de Transferencias, previstos en estos Lineamientos y en el Manual.
UNDÉCIMO.- Una vez que el Banco de México haya determinado que la Entidad solicitante cumple con los requisitos técnicos y operativos previstos en los presentes Lineamientos y en el Manual para tener acceso a la Base de Datos de Transferencias, le notificará de ello, a fin de que celebren el contrato de prestación de servicios que tenga por objeto llevar a cabo la operación de la Entidad respectiva con la Base de Datos de Transferencias, en términos de las Disposiciones y estos Lineamientos, así como establecer la contraprestación aplicable.
Para la celebración del contrato referido en el párrafo anterior, la Entidad de que se trate deberá comunicar a la Gerencia de Instrumentación de Operaciones del Banco de México el nombre de los representantes legales que suscribirán dicho instrumento, así como proporcionar copia simple de sus respectivas identificaciones oficiales y copia certificada de la escritura pública en la que consten las facultades otorgadas a dichas personas, por la Entidad de que se trate, para ejercer actos de administración o de dominio.
DUODÉCIMO.- La Entidad Acreditada deberá verificar, en periodos sucesivos de dos años, el cumplimiento que dicha Entidad dé a los requisitos establecidos en el Lineamiento CUARTO. Dicha verificación deberá ser realizada por el área de auditoría interna de la propia Entidad Acreditada y por un tercero independiente especializado, mediante revisiones alternadas que uno de ellos realice en uno de los periodos referidos y el otro en el periodo inmediato siguiente. La Entidad Acreditada deberá presentar al Banco de México, por conducto de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos, el resultado de la revisión correspondiente mediante un informe que deberá ser elaborado en términos de lo indicado al efecto en el Apéndice del Manual titulado "Características Generales del Informe de Evaluación del Cumplimiento de los Requisitos para Operar con la Base de Datos de Transferencias" y que, en su caso, señale las acciones que la Entidad Acreditada deberá seguir para cumplir con los requisitos observados.
El informe al que hace referencia el párrafo anterior deberá presentarse durante el mes de marzo y deberá abarcar la verificación del cumplimiento de las obligaciones de la Entidad Acreditada al último Día Hábil
Bancario del mes de enero del periodo de revisión que corresponda. La Entidad Acreditada deberá presentar el primer informe contemplado en este Lineamiento al finalizar el periodo de setecientos veinte días naturales a partir de la firma del contrato al que se refiere el Lineamiento UNDÉCIMO. En caso de que el día de la conclusión de este último periodo no corresponda a un Día Hábil Bancario, el informe deberá presentarse al Día Hábil Bancario inmediato siguiente.
DÉCIMO TERCERO.- La Entidad Acreditada deberá registrar ante el Banco de México a sus Funcionarios Autorizados. Al efecto, aquella deberá presentar al Banco de México, mediante comunicación digital elaborada conforme a lo establecido en el Lineamiento VIGÉSIMO SÉPTIMO y dirigida a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos, una solicitud de registro en los términos establecidos en el Manual la cual deberá constar en una comunicación digital, que contenga la Firma Electrónica del representante de la Entidad Acreditada de que se trate que cuente con poderes de administración o de dominio, que dichas Entidades den a conocer al Banco de México, a través de la Gerencia de Instrumentación de Operaciones. En todo caso, cada Entidad Acreditada deberá verificar y guardar constancia de que cada una de las personas que designe como Funcionarios Autorizados cumple con lo siguiente:
I. Se encuentre adscrita al área de la Entidad a cargo del funcionario denominado Oficial de Cumplimiento a que se refieren las Disposiciones, o bien, que se encuentre adscrita a cualquier otra área de la Entidad donde recaigan las funciones de auditoría, o gestión de riesgos, o cumplimiento normativo, o aquellas áreas especializadas en análisis de datos susceptibles de intercambiarse para efectos de las Disposiciones, y que el referido Oficial de Cumplimiento haya aprobado su designación como Funcionario Autorizado.
II. Cuente con un Certificado Digital vigente, durante el periodo en que conserve el carácter de Funcionario Autorizado, expedido a su nombre.
III. Cuente con constancia de no existencia de registros de sentencias condenatorias en materia penal del ámbito federal, referida como constancia de antecedentes penales, expedida por el Órgano Administrativo Desconcentrado Prevención y Readaptación Social, de la Secretaría de Gobernación, con fecha de expedición no mayor a un año previamente a su designación como Funcionario Autorizado.
IV. No haya sido inhabilitada para desempeñar un empleo, cargo o comisión en el sistema financiero mexicano, según la información que publica la Comisión y demás comisiones supervisoras de entidades financieras.
V. No haya sido previamente designado como Funcionario Autorizado y se le haya anulado el registro respectivo por ubicarse en el supuesto mencionado en la fracción II del Lineamiento DÉCIMO QUINTO.
El registro a que se refiere este Lineamiento surtirá efectos a partir de la fecha en que el Banco de México notifique a la Entidad Acreditada respectiva la ejecución de dicho registro.
DÉCIMO CUARTO.- Cada Entidad Acreditada deberá contar en todo momento con, al menos, dos Funcionarios Autorizados, cada uno de los cuales será el responsable de suscribir, mediante Firma Electrónica soportada por su respectivo Certificado Digital, las solicitudes de consulta de Información a la Base de Datos de Transferencias a nombre de la Entidad Acreditada respectiva.
En el evento de que, por cualquier causa, la Entidad Acreditada cuente con menos de dos Funcionarios Autorizados, deberá designar a quien o quienes deban asumir ese carácter, en un periodo máximo de cinco Días Hábiles Bancarios siguientes a aquel en que se hubiere generado la vacante correspondiente.
Sin perjuicio de lo señalado anteriormente, en los meses de febrero a marzo de cada año, la Entidad Acreditada deberá confirmar al Banco de México si los Funcionarios Autorizados registrados continúan con ese carácter, así como la actualización de sus datos conforme a lo establecido en el Manual, mediante comunicación digital elaborada conforme a lo establecido en el Lineamiento VIGÉSIMO SÉPTIMO y dirigida y entregada a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos del Banco de México. En caso de que, al finalizar el mes de marzo, una Entidad Acreditada no haya realizado la confirmación de sus Funcionarios Autorizados conforme al presente párrafo, el Banco de México, sin previa notificación a la Entidad Acreditada, anulará el registro respectivo, a más tardar al décimo Día Hábil Bancario del mes de abril siguiente, sin perjuicio de que la Entidad Acreditada de que se trate pueda solicitar de nueva cuenta el registro del o de los Funcionarios Autorizados respectivos, de conformidad con el Lineamiento DÉCIMO TERCERO.
DÉCIMO QUINTO.- La Entidad Acreditada deberá solicitar al Banco de México la anulación del registro de las personas que haya designado como Funcionarios Autorizados, mediante la presentación a la Gerencia de
Operación y Continuidad de Negocio de los Sistemas de Pagos de una comunicación digital elaborada de acuerdo con lo establecido en el Lineamiento VIGÉSIMO SÉPTIMO y en los términos establecidos en el Manual.
En todo caso, las Entidades Acreditadas estarán obligadas a solicitar la anulación del registro de sus Funcionarios Autorizados, en un plazo no mayor a un Día Hábil Bancario contado a partir de la fecha en que:
I. El Funcionario Autorizado dé por terminada su relación laboral con la Entidad Acreditada o deje de ejercer las funciones como tal;
II. La Entidad Acreditada detecte que el Funcionario Autorizado ha estado involucrado en algún incidente por el cual se pudiera comprometer la información sensible relacionada con la operación de la Base de Datos de Transferencias, o
III. La Entidad Acreditada tenga conocimiento de que la persona designada como Funcionario Autorizado deje de cumplir con los requisitos previstos en el Lineamiento DÉCIMO TERCERO.
El Banco de México dará de baja de su respectivo sistema al Funcionario Autorizado referido en este Lineamiento, a más tardar, el segundo Día Hábil Bancario siguiente a aquel en que se haya presentado la solicitud en los términos establecidos en el Manual.
Asimismo, el Banco de México podrá realizar la baja de los Funcionarios Autorizados registrados por la Entidad Acreditada para consultar la Base de Datos de Transferencias en caso de que la Entidad Acreditada no confirme al Banco de México la vigencia y actualización de los Funcionarios Autorizados, conforme lo establecido en el tercer párrafo del Lineamiento DÉCIMO CUARTO. Lo anterior, sin perjuicio de las penas convencionales que correspondan de acuerdo al contrato correspondiente.
DÉCIMO SEXTO.- Las Entidades Acreditadas reportarán a la Base de Datos de Transferencias su respectiva Información en el horario indicado en el Manual, el mismo Día Hábil Bancario al del envío o recepción de las transferencias de fondos objeto de dicha Información, siguiendo las especificaciones para generar el Formulario de Transferencias, disponible a través del sistema administrado por el Banco de México que se especifique en el Manual o en cualquier otro medio electrónico o de cómputo que para esos efectos dé a conocer el Banco de México.
Tratándose de las transferencias que las Entidades Acreditadas envíen por cuenta de un Cliente o Usuario, deberán identificarlo como el originador respectivo.
Las Entidades Acreditadas no estarán obligadas a reportar a la Base de Datos de Transferencias la Información correspondiente a las transferencias de fondos realizadas por medio de un sistema de pagos operado por el Banco de México. En este caso, el Banco de México realizará la carga de la Información a que se refiere este párrafo, por cuenta de las Entidades Acreditadas respectivas, de acuerdo con la notificación de ello que haga a estas, de conformidad con la 62 ª Quáter, fracción IV, de las Disposiciones.
En todo caso, las Entidades Acreditadas deberán verificar que la Información que reporten a la Base de Datos de Transferencias sea auténtica y cumpla con las especificaciones que se detallan en el Manual.
Tratándose de transferencias de fondos que las Entidades Acreditadas hayan enviado o recibido después de la apertura del horario de envío de la Información a través del sistema administrado por el Banco de México que se especifique en el Manual o en un día distinto a un Día Hábil Bancario, dichas Entidades Acreditadas deberán enviar el reporte de la Información correspondiente a más tardar el Día Hábil Bancario siguiente, a aquel en que hayan enviado o recibido las transferencias de fondos de que se trate.
Las Entidades Acreditadas que hayan omitido reportar Información en las fechas correspondientes conforme a lo indicado en este Lineamiento, deberán hacerlo tan pronto como les sea posible, sin perjuicio de las penas o sanciones que, en su caso, les resulten aplicables.
DÉCIMO SÉPTIMO.- En el evento de que las Entidades Acreditadas requieran corregir aquella Información errónea, imprecisa o incompleta que hayan proporcionado a la Base de Datos de Transferencias, deberán solicitar al Banco de México, a través del Centro de Atención de los Sistemas de Pagos, que rehabilite el formulario correspondiente al día en que se realizó la trasferencia de fondos de que se trate, a fin de que sea enviado nuevamente con la Información corregida.
Lo previsto en este Lineamiento no eximirá a las Entidades Acreditadas de las penas convencionales o sanciones que, en su caso, resulten aplicables.
DÉCIMO OCTAVO.- En el evento de que alguna transferencia de fondos reportada a la Base de Datos de Transferencias haya sido cancelada, las Entidades Acreditadas involucradas en dicha operación deberán informarlo a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos del Banco de México a más tardar el Día Hábil Bancario siguiente a aquel en que se haya llevado a cabo dicha cancelación,
así como acompañar la explicación de las causas que lo ocasionaron. Las Entidades Acreditadas respectivas deberán elaborar el informe referido de acuerdo con el formato de cancelaciones que especifique el Manual con el fin de que los datos sobre dicha transferencia de fondos sean eliminados de la Base de Datos de Transferencias.
Las Entidades Acreditadas deberán conservar por un periodo de, al menos, cinco años, la evidencia sobre las transferencias de fondos que hayan cancelado, así como de las causas de ello.
DÉCIMO NOVENO.- Las Entidades Acreditadas deberán enviar los reportes de Información a la Base de Datos de Transferencias de conformidad con lo dispuesto en los Lineamientos DÉCIMO SEXTO, DÉCIMO SÉPTIMO y DÉCIMO OCTAVO, y con las especificaciones indicadas en el Manual.
En caso de que una Entidad Acreditada no reporte la Información requerida de conformidad con los términos establecidos en los presentes Lineamientos, el Banco de México podrá, en su caso, de conformidad con las cláusulas establecidas al efecto en el contrato a que se refieren los presentes Lineamientos, imponer un programa de acciones correctivas que la Entidad Acreditada deberá observar para subsanar los errores o inconsistencias, sin perjuicio de aquellas otras medidas correctivas, así como penas o sanciones, que cualquiera de las Autoridades pueda imponer en ejercicio de sus respectivas facultades.
VIGÉSIMO.- Las Entidades Acreditadas consultarán la Información estadística de las transferencias de fondos reportadas a la Base de Datos de Transferencias, así como otros datos generales sobre dichas transferencias correspondientes a sus Clientes o Usuarios en los supuestos y para los efectos a que se refieren las Disposiciones, de conformidad con las especificaciones técnicas y operativas establecidas al efecto en el Manual.
Al inicio de cada consulta de Información, los Funcionarios Autorizados deberán autenticarse mediante el uso de Certificados Digitales y el identificador de usuario que les haya proporcionado el Banco de México. En las consultas a que se refiere este Lineamiento se observará lo siguiente:
I. Esquema de consulta.
Las Entidades Acreditadas podrán consultar los agregados estadísticos indicados en el Capítulo del Manual titulado "Indicadores Estadísticos Transaccionales del Cliente o Usuario", relativos a la Información de sus Clientes o Usuarios a nivel sistema bancario actualizado al Día Hábil Bancario inmediato anterior bajo los esquemas de consulta, cuyas especificaciones se detallan en el Manual.
II. Información a consultar.
Cuando las Entidades Acreditadas realicen consultas de Información, podrán obtener de la Base de Datos de Transferencias, para cada uno de sus Clientes o Usuarios que hayan enviado o recibido al menos una transferencia de fondos nacionales en moneda extranjera o internacional en cualquier moneda, la información estadística y otros datos generales que se especifiquen en el Capítulo del Manual titulado "Indicadores Estadísticos Transaccionales del Cliente o Usuario". Esta Información considerará las transferencias de fondos que dicha persona haya realizado a través de todas las instituciones de crédito nacionales durante los últimos 360 días naturales previos al día en que se realice la consulta. La Información se actualizará cada Día Hábil Bancario con la Información al Día Hábil Bancario inmediato anterior.
VIGÉSIMO PRIMERO.- Las Entidades Acreditadas deberán contar con el consentimiento de sus Clientes o Usuarios para estar en posibilidad de proporcionar y consultar su Información, en los términos que establecen las Disposiciones.
VIGÉSIMO SEGUNDO.- Cuando una Entidad Acreditada identifique alguna discrepancia entre la Información que debe reportar y la Información almacenada en la Base de Datos de Transferencias, deberá notificar este hecho al Centro de Atención de los Sistemas de Pagos del Banco de México, de manera inmediata, vía telefónica, al número que se indica en el Manual y, posteriormente, confirmará sin demora lo anterior mediante una comunicación digital elaborada conforme a lo establecido en el Lineamiento VIGÉSIMO SÉPTIMO y dirigida a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos del Banco de México.
VIGÉSIMO TERCERO.- En caso de que se presente algún evento que afecte las operaciones de la Base de Datos de Transferencias o ponga en riesgo su integridad y seguridad, el Banco de México podrá:
I. Suspender la conexión a aquella o aquellas Entidades Acreditadas que considere conveniente para impedir dicha afectación.
II. Restringir el acceso a las consultas a la Base de Datos de Transferencias de uno o varios Funcionarios Autorizados.
III. Instruir a cualquier Entidad Acreditada que suspenda las consultas a la Base de Datos de
Transferencias.
IV. Determinar horarios distintos a los señalados para la consulta a la Base de Datos de Transferencias, los cuales se darán a conocer a las Entidades Acreditadas a través del Centro de Atención de Sistemas de Pagos del Banco de México u otro medio que se encuentre a disposición del Banco de México en ese momento.
V. Indicar algún procedimiento de contingencia que la Entidad Acreditada deba llevar a cabo.
VIGÉSIMO CUARTO.- En caso de que ocurra algún evento que afecte la operación de una Entidad Acreditada con la Base de Datos de Transferencias o esta detecte cualquier irregularidad en dicha operación, y la duración de dicho evento o irregularidad sea mayor a treinta minutos consecutivos, o bien, se relacione con alguna intrusión no permitida en los sistemas de tecnologías de la información de la Entidad Acreditada o sustracción no autorizada de su información, la Entidad Acreditada deberá notificarlo al Banco de México vía telefónica al Centro de Atención de los Sistemas de Pagos y confirmará este hecho, mediante una comunicación digital elaborada conforme a lo establecido en el Lineamiento VIGÉSIMO SÉPTIMO y dirigida a la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos del Banco de México, de acuerdo con el procedimiento que este establezca en el Manual para dicho efecto.
La comunicación señalada en el párrafo anterior deberá enviarse dentro de los sesenta minutos posteriores a aquel en que surja el evento o se detecte la irregularidad referida, en la cual se deberá indicar la fecha y hora de inicio del evento o irregularidad, la indicación de si estos continúan o han concluido y su duración, los procesos afectados, así como una descripción del evento o irregularidad que haya observado.
Adicionalmente, en caso de que la Entidad Acreditada identifique alguna amenaza inminente a la operación en general de la Base de Datos de Transferencias, como pudieran ser, entre otros, la presencia de códigos maliciosos, ataques o instrucciones no permitidas a la Infraestructura Tecnológica relacionada con su operación con la Base de Datos de Transferencias, realización de actos vinculados con posibles fraudes o la sustracción no autorizada de su Información, cuando con ello se pudiera afectar la operación que la Entidad Acreditada lleve a cabo en particular con la Base de Datos de Transferencias, deberá realizar la notificación de esos hechos al Banco de México de manera inmediata a su detección, vía telefónica al Centro de Atención de los Sistemas de Pagos y, posteriormente, mediante una comunicación en los términos establecidos en el primer párrafo del presente Lineamiento.
VIGÉSIMO QUINTO.- Para que las Entidades Acreditadas mantengan su acceso a la Base de Datos de Transferencias, deberán cumplir con los requisitos establecidos en el Lineamiento CUARTO y demás aplicables. Para estos efectos, de conformidad con la 62 ª Quáter, fracción II, último párrafo, de las Disposiciones, sin perjuicio de las facultades de supervisión de la Comisión, el Banco de México podrá realizar las verificaciones que estime procedentes, de acuerdo con los contratos a que se refiere el Lineamiento UNDÉCIMO, con el fin de determinar que las Entidades Acreditadas cumplen con los presentes Lineamientos, para lo cual estas últimas deberán permitir al Banco de México la práctica de dichas verificaciones.
Para efectos de lo señalado en el párrafo anterior, el Banco de México podrá realizar los siguientes actos como parte de la verificación del cumplimiento de los presentes Lineamientos:
I. Requerimientos de información. Requerir a las Entidades Acreditadas información en relación con la operación por parte de ellas con la Base de Datos de Transferencias, incluidos los equipos, sistemas, programas de cómputo y demás elementos con que esta cuente en relación con dicha operación.
II. Requerimiento de certificación por tercero independiente. Requerir a las Entidades Acreditadas dictámenes, evaluaciones y demás reportes que elabore un tercero independiente, el cual deberá cumplir con las características establecidas en el Manual, sobre auditorías llevadas a cabo respecto de dicha Entidad Acreditada en relación con el cumplimiento de los presentes Lineamientos.
III. Visita de inspección. Efectuar inspecciones en las instalaciones, oficinas, sucursales, equipos y sistemas de tecnologías de la información y comunicación de las Entidades Acreditadas y, durante su desarrollo, practicar entrevistas a empleados o funcionarios de ellas que estime convenientes o necesarias.
VIGÉSIMO SEXTO.- En el evento de que el Banco de México compruebe algún incumplimiento a los presentes Lineamientos por parte de alguna Entidad Acreditada, podrá requerirle que presente un programa de acciones correctivas que se obligue a llevar a cabo para subsanar el incumplimiento referido.
Asimismo, en caso de que una Entidad Acreditada incumpla lo establecido en los presentes Lineamientos o en el contrato respectivo, ponga en riesgo el correcto funcionamiento de la Base de Datos de Transferencias o la integridad de la Información contenida en ella o, en su caso, incumpla con el seguimiento de un programa de acciones correctivas, el Banco de México, sin perjuicio de las demás penas convencionales o sanciones
que, en su caso, le resulten aplicables, podrá, después de escuchar a la Entidad Acreditada referida:
I. Suspender la operación de dicha Entidad Acreditada con la Base de Datos de Transferencias. Para tales efectos el Banco de México suspenderá la operación cuando determine que el incumplimiento podría poner en riesgo el correcto funcionamiento de la Base de Datos de Transferencias o la seguridad de la Información contenida en ella.
II. Rescindir el contrato celebrado con la Entidad Acreditada para operar con la Base de Datos de Transferencias de conformidad con los presentes Lineamientos.
VIGÉSIMO SÉPTIMO.- Las Entidades y Entidades Acreditadas deberán enviar las comunicaciones a que hacen referencia los Lineamientos TERCERO, SÉPTIMO, NOVENO, DÉCIMO TERCERO, DÉCIMO CUARTO, DÉCIMO QUINTO, VIGÉSIMO SEGUNDO y VIGÉSIMO CUARTO mediante correo electrónico dirigido al Centro de Atención de los Sistemas de Pagos del Banco de México conforme a lo establecido en el Manual.
Cada una de las comunicaciones deberá, en todos los casos, contener la Firma Electrónica de la persona que deba suscribirla conforme a lo establecido al efecto por el Lineamiento respectivo. En todo caso, las personas que suscriban las comunicaciones referidas deberán estar previamente registradas en el catálogo del personal autorizado por la Entidad Acreditada para realizar la gestión de operaciones y solicitudes diversas con el Banco de México, de acuerdo con el procedimiento que este establezca para dicho efecto en el Manual. Cuando los Lineamientos citados en el párrafo anterior no indiquen las personas que deberán firmar electrónicamente las comunicaciones respectivas, estas deberán contener la Firma Electrónica de las personas registradas en el catálogo del personal que la Entidad Acreditada autoriza para realizar la gestión de operaciones y solicitudes diversas para operar con el Banco de México, de acuerdo al procedimiento que este establezca para dicho efecto.
Es responsabilidad de las Entidades Acreditadas mantener actualizado en todo momento el catálogo a que se refiere el párrafo anterior.
Las personas que suscriban las comunicaciones en términos del presente Lineamiento deberán:
I. Contar con un Certificado Digital vigente expedido a su nombre.
II. Suscribir las comunicaciones digitalmente utilizando la herramienta que el Banco de México determine para estos fines y dé a conocer a las Entidades Acreditadas de conformidad con lo dispuesto en el Manual, así como el Certificado Digital al que se refiere la fracción I de este Lineamiento.
En los casos en que la Entidad Acreditada no tenga acceso a los elementos necesarios para enviar las solicitudes firmadas digitalmente, podrá entregar a la Gerencia de Operación y Continuidad de Negocios de los Sistemas de Pagos del Banco de México, las respectivas comunicaciones por escrito en original, por duplicado, y suscritas por personas cuya firma haya quedado previamente registrada ante la citada Gerencia para la gestión de operaciones y solicitudes diversas para operar con el Banco de México, adicionando un comunicado en el que especifique el motivo por el cual se ve en la necesidad de enviar comunicaciones por este medio alterno.
VIGÉSIMO OCTAVO.- La Entidad Acreditada podrá solicitar al Banco de México, a través de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos, la terminación anticipada del contrato de prestación de servicios que tenga por objeto hacer uso de la Base de Datos de Transferencias. La mencionada solicitud deberá presentarse por escrito a la referida Gerencia, por lo menos, con un Día Hábil Bancario de anticipación a la fecha en que la Entidad Acreditada pretenda que surta efectos la terminación del contrato.
VIGÉSIMO NOVENO.- Las Autoridades, conjuntamente, podrán interpretar, para efectos administrativos, lo establecido en los presentes Lineamientos.
TRANSITORIOS
PRIMERO.- Los presentes Lineamientos entrarán en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.
SEGUNDO.- De conformidad con la disposición transitoria Séptima de la resolución que reforma, adiciona y deroga diversas de las Disposiciones, publicada en el Diario Oficial de la Federación el 24 de febrero de 2017, las Entidades deberán comenzar a reportar la Información sobre las transferencias de fondos internacionales que envíen en cualquier moneda a partir del décimo Día Hábil Bancario siguiente a la publicación de los presentes Lineamientos. Sin perjuicio de lo anterior, aquellas Entidades que cumplan con lo previsto en las Disposiciones podrán comenzar a reportar la información a que se refiere este párrafo a partir del día de la publicación de los presentes Lineamientos. Asimismo, las Entidades deberán comenzar a consultar la Información sobre sus Clientes y Usuarios a partir de los sesenta y cinco Días Hábiles Bancarios siguientes a la publicación de los presentes Lineamientos.
TERCERO.- La obligación de las Entidades Acreditadas de reportar la Información de transferencias de fondos internacionales en cualquier moneda recibidas entrará en vigor el 30 de noviembre de 2018.
CUARTO.- La obligación de las Entidades Acreditadas de reportar operaciones realizadas a nombre y por cuenta propia en términos de los presentes Lineamientos, entrará en vigor el 30 de noviembre de 2018.
Ciudad de México, a 27 de noviembre de 2017.- Por la Secretaría de Hacienda y Crédito Público: el Secretario, José Antonio González Anaya.- Rúbrica.- Comisión Nacional Bancaria y de Valores: el Presidente, Jaime González Aguadé.- Rúbrica.- Banco de México: el Gobernador, Agustín Guillermo Carstens Carstens.- Rúbrica.
|
En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
|
