CIRCULAR 4/2019 dirigida a las Instituciones de Crédito e Instituciones de Tecnología Financiera relativa a las Disposiciones de carácter general aplicables a las Instituciones de Crédito e Instituciones de Tecnología Financiera en las Operaciones que re CIRCULAR 4/2019 dirigida a las Instituciones de Crédito e Instituciones de Tecnología Financiera relativa a las Disposiciones de carácter general aplicables a las Instituciones de Crédito e Instituciones de Tecnología Financiera en las Operaciones que realicen con Activos Virtuales.
Al margen un logotipo, que dice: Banco de México.- "2019, Año del Caudillo del Sur, Emiliano Zapata".
CIRCULAR 4/2019
A LAS INSTITUCIONES DE CRÉDITO E INSTITUCIONES DE TECNOLOGÍA FINANCIERA: | | |
| ASUNTO: | DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS INSTITUCIONES DE CRÉDITO E INSTITUCIONES DE TECNOLOGÍA FINANCIERA EN LAS OPERACIONES QUE REALICEN CON ACTIVOS VIRTUALES. |
El Banco de México, considerando que en el entorno internacional ha aumentado el interés de los medios de comunicación y de ciertos sectores del público en los activos virtuales. Estos activos se han caracterizado por ser volátiles, costosos para celebrar transacciones y difícilmente escalables. Por otra parte, existen riesgos para los tenedores de estos activos, toda vez que, derivado de la complejidad de la tecnología que los soporta, podrían no conocer cabalmente los posibles problemas que podrían presentarse y dar lugar a la pérdida de sus recursos.
En particular, en los casos en los que se utilicen activos virtuales en los servicios ofrecidos al público en general, puede existir un problema de asimetría de la información que se genera por dos causas. La primera surge como resultado de la complejidad de los procesos matemáticos y criptográficos que soportan a los activos virtuales y la dificultad para que los usuarios conozcan dichos procesos. La segunda causa proviene de la complejidad de los factores que determinan el precio de los activos virtuales, el desconocimiento de los elementos que determinan la oferta y demanda de dichos activos, así como la falta de alguna referencia con la cual se pueda obtener una estimación de su precio. Aunado a lo anterior, en caso de que una institución financiera ofreciera servicios al público en general que involucren activos virtuales, en virtud de la reputación de dichas instituciones, se podría generar una percepción de que los riesgos asociados a los activos son menores a los que en realidad representan.
Asimismo, los activos virtuales conllevan un riesgo importante en materia de prevención de operaciones con recursos de procedencia ilícita (lavado de dinero) y financiamiento al terrorismo, debido a la facilidad para transferir los activos virtuales a distintos países, así como la ausencia de controles y medidas de prevención homogéneos a nivel global.
En este contexto, se considera conveniente mantener una sana distancia entre los activos virtuales y el sistema financiero. Sin embargo, pese a lo expuesto anteriormente, el Banco Central busca promover y aprovechar el uso de tecnologías que pudieran tener un beneficio desde la perspectiva de eficiencia o funcionalidad, siempre y cuando estas tecnologías sean utilizadas en el contexto de la operación interna de las instituciones de tecnología financiera e instituciones de crédito y esto, a su vez, no implique un aumento significativo en los riesgos operativos o financieros de las mismas. Es decir, la utilización de tecnología como registros distribuidos, cadena de bloques o incluso los propios activos virtuales en sus procesos internos podría llegar a ser factible, siempre y cuando los riesgos de los activos virtuales no impacten al consumidor final.
Por lo anterior, con fundamento en los artículos 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos, 24 y 26, de la Ley del Banco de México, 16, 30, 32 y 88, de la Ley para Regular las Instituciones de Tecnología Financiera, 4, párrafo primero, 8, párrafos cuarto y séptimo, 10, párrafo primero, 12, párrafo primero en relación con el 20, fracción XI, y 14 Bis, párrafo primero en relación con el 17, fracción I, del Reglamento Interior del Banco de México, que le otorgan la atribución de expedir disposiciones a través de la Dirección General de Operaciones y Sistemas de Pagos y de la Dirección General Jurídica, respectivamente, así como Segundo, fracciones VI y X, del Acuerdo de Adscripción de las Unidades Administrativas del Banco de México, ha resuelto emitir las disposiciones siguientes:
DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS INSTITUCIONES DE CRÉDITO E
INSTITUCIONES DE TECNOLOGÍA FINANCIERA EN LAS OPERACIONES QUE REALICEN CON
ACTIVOS VIRTUALES
CAPÍTULO I
DISPOSICIONES PRELIMINARES
1.a Objeto.- Las presentes Disposiciones tienen por objeto:
a) Determinar los activos virtuales, así como definir sus características, con los que las Instituciones
podrán operar de conformidad con lo previsto en la Ley;
b) Establecer los términos, condiciones y restricciones de las Operaciones que las Instituciones podrán realizar con activos virtuales;
c) Establecer plazos, términos y condiciones que deberán observar las Instituciones para los casos en que los activos virtuales con los que operen se transformen en otros tipos de activos virtuales o modifiquen sus características;
d) Determinar la información relacionada con las Operaciones con Activos Virtuales que las Instituciones deberán presentar al Banco de México para obtener su autorización para operar con activos virtuales, y
e) Establecer las características de las autorizaciones para realizar Operaciones con Activos Virtuales.
2.a Definiciones.- Para efectos de las presentes Disposiciones, además de los términos utilizados en la Ley para Regular las Instituciones de Tecnología Financiera bajo las definiciones incluidas en dicho ordenamiento, se entenderá por:
Certificado Digital: | a aquel mensaje de datos en formato digital generado en términos de las "Reglas para Operar como Agencia Registradora y/o Agencia Certificadora en la Infraestructura Extendida de Seguridad", contenidas en la Circular-Telefax 6/2005 del Banco de México, o las que, en su caso, las sustituyan. |
Día Hábil Bancario: | a los días en que las instituciones de crédito no estén obligadas a cerrar sus puertas ni a suspender operaciones, en términos de las disposiciones de carácter general que, para tal efecto, emita la CNBV. |
Infraestructura Tecnológica: | a las redes de procesamiento de datos y sistemas operativos que soportan la operación de los activos virtuales. |
Institución: | a las instituciones de crédito y a las instituciones de tecnología financiera autorizadas de conformidad con lo dispuesto en la Ley de Instituciones de Crédito y en la Ley, respectivamente. |
Ley: | a la Ley para Regular las Instituciones de Tecnología Financiera. |
Operaciones Internas: | a las actividades que las Instituciones realicen internamente para llevar a cabo las operaciones pasivas, activas y de servicios que estas celebran con sus Clientes o que estas realicen por cuenta propia, incluyendo las actividades que realicen las Instituciones para soportar las transferencias internacionales de fondos que lleven a cabo. |
Operación con Activos Virtuales: | a las Operaciones Internas que las Instituciones de manera directa o indirecta pretendan realizar con activos virtuales en términos de las presentes Disposiciones. |
Órgano de Administración: | al administrador único o al consejo de administración de una Institución. |
Protocolo: | a las reglas por las cuales se rige la Infraestructura Tecnológica de un activo virtual. |
Tercero Independiente: | al profesionista competente para realizar labores de evaluación sobre el cumplimiento de los requisitos que las Instituciones deben cumplir conforme a estas Disposiciones, quien es externo a la Institución y que cumple, en lo conducente, con las características previstas en la 18.a de estas Disposiciones. |
CAPÍTULO II
OPERACIONES
3.a Características de las operaciones.- Las Instituciones solo podrán celebrar las Operaciones con Activos Virtuales que correspondan a Operaciones Internas, sujeto a la previa autorización otorgada por el Banco de México, en términos del Capítulo II de estas Disposiciones, y tendrán prohibido celebrar operaciones con dichos activos en términos distintos a los establecidos en la autorización respectiva.
Las Instituciones, en la realización de las Operaciones con Activos Virtuales, deberán impedir en todo momento que se transmita, directa o indirectamente, el riesgo de dichas Operaciones con Activos Virtuales a
los Clientes de dicha Institución.
No serán elegibles para la obtención de la autorización a que se refiere el Capítulo II de las presentes Disposiciones, aquellas Operaciones que las Instituciones soliciten celebrar con activos virtuales mediante las cuales pretendan prestar de manera directa a sus Clientes servicios de intercambio, transmisión o custodia de activos virtuales.
4.a Características de los activos virtuales.- Los activos virtuales con que las Instituciones podrán realizar operaciones de conformidad con las presentes Disposiciones deberán cumplir con las características siguientes:
I. Ser unidades de información, unívocamente identificables, incluso de manera fraccional, registradas electrónicamente, que no representen la titularidad o derechos de un activo subyacente o bien, que representen dicha titularidad o derechos por un valor inferior a estos;
II. Tener controles de emisión definidos mediante Protocolos determinados y a los que se pueden suscribir terceros, y
III. Contar con Protocolos que impidan que las réplicas de las unidades de información o sus fracciones se encuentren disponibles para ser transmitidas más de una vez en un mismo momento.
Sin perjuicio de lo dispuesto anteriormente en la presente Disposición, las Instituciones podrán realizar Operaciones Internas con el uso de tecnologías correspondientes a aquellos otros activos virtuales con características distintas a las establecidas en esta misma Disposición, para lo cual deberán sujetarse a las disposiciones que les resulten aplicables en materia de uso de tecnologías y sistemas automatizados de procesamiento de datos.
5.a Autorizaciones para realizar operaciones.- La autorización para realizar Operaciones con Activos Virtuales surtirá efectos únicamente respecto de la Institución solicitante a la cual se otorgue dicha autorización y tendrá efectos hasta por el plazo que el Banco de México determine en la propia autorización. Dichas autorizaciones podrán renovarse en términos de estas Disposiciones.
6.a Solicitud de Autorización para realizar operaciones.- La Institución que pretenda realizar Operaciones con Activos Virtuales deberá presentar su solicitud de autorización ante el Banco de México en términos de la 19.a de estas Disposiciones. Dicha solicitud deberá ir acompañada de la información siguiente:
I. La descripción del modelo de Operación con Activos Virtuales que la Institución pretenda utilizar para llevar a cabo dicha operación, en el cual, la Institución solicitante deberá establecer las medidas que pretenda establecer para impedir que se transmita el riesgo, directa o indirectamente, de dichas Operaciones con Activos Virtuales a los Clientes de la Institución respectiva, así como la manera en que la Institución supervisará el cumplimiento de las referidas medidas;
II. Un cuadro comparativo que permita identificar los requisitos de la regulación aplicable y las medidas que la Institución establecerá a efecto de dar cumplimiento a dicha regulación, así como la referencia al documento que contenga la evidencia que sustente su cumplimiento. Para tal efecto, la Institución deberá demostrar la viabilidad de dichas medidas y sustentar su capacidad para implementarlas, así como señalar el tiempo en el que prevé estar en posibilidad de llevar a cabo su implementación;
III. Los beneficios que representa llevar a cabo las Operaciones con Activos Virtuales cuya autorización solicita;
IV. Los manuales operativos que la Institución respectiva hubiere elaborado en relación con la Operación con Activos Virtuales respecto de la cual dicha Institución solicite al Banco de México su autorización. El manual deberá incluir:
a. Una descripción del activo virtual con el cual pretende realizar la Operación Interna y las razones por las que considera que dicho activo reúne las características a que se refiere la 4.a de estas Disposiciones.
b. Las características de los Protocolos del activo virtual del cual se solicita la autorización incluyendo, entre otros, una descripción de las reglas de operación de su Infraestructura Tecnológica, de los sujetos que intervienen en dicha infraestructura y los Protocolos que limitan la concentración en el proceso de toma de decisiones, cuando se tenga acceso a dicha información, así como una descripción de las características que permitan el seguimiento de las transacciones y el libre acceso a los registros transaccionales.
c. Las características del mercado del activo virtual que se pretenda utilizar para llevar a cabo las
Operaciones con Activos Virtuales, incluyendo la liquidez, profundidad y transparencia de dicho mercado.
d. Una descripción de los procesos en los que la Institución planea utilizar en su Operación Interna el activo virtual que señala en la solicitud de autorización correspondiente, que incluya por lo menos el personal involucrado en dichos procesos, sus funciones y responsabilidades. Asimismo, la Institución deberá justificar las razones por las cuales considera que esta Operación con Activos Virtuales no constituye el ofrecimiento de servicios u operaciones de manera directa a los Clientes de dicha Institución.
e. Las medidas que la Institución pretenda adoptar para impedir en todo momento que sus Clientes incurran en algún riesgo derivado de la Operación con Activos Virtuales de la Institución.
f. Procedimientos para determinar los supuestos que impliquen nuevos riesgos derivados de cambios en los Protocolos que requieran de una modificación al manual operativo, y
V. Un marco integral de riesgos que se obligue a seguir que identifique al menos los riesgos asociados a la Operación con Activos Virtuales de la Institución tomando en cuenta como mínimo los riesgos de negocio, cambiario, financiero, operativo, de ciberseguridad, de operaciones con recursos de procedencia ilícita y reputacionales, que incluya al menos la información siguiente:
a. Identificación de fuentes de riesgo:
i) Definir las fuentes de riesgos a los que está expuesta la Institución.
ii) Contar con políticas que se obligue a seguir respecto a la tolerancia al riesgo que la Institución esté dispuesta a asumir mediante el establecimiento de niveles y límites de riesgo.
b. Medición de la exposición de riesgo:
i) Contar con metodologías para medir su exposición a las fuentes de riesgo identificadas, determinando para ello los factores de riesgo asociados a dichas fuentes de riesgo.
ii) Establecer reglas y procedimientos para la obtención de información en tiempo y forma para las metodologías señaladas en el inciso anterior.
c. Asignación de recursos propios para la administración de riesgos:
i) Designar los recursos financieros, humanos y materiales necesarios para la administración de riesgos eficiente y eficaz y establecer límites a tales recursos con el fin de no comprometer su Operación Interna.
ii) Establecer funciones y líneas de rendición de cuentas del personal asignado para la administración de riesgos, así como la rendición de cuentas al Órgano de Administración para la toma de decisiones.
d. Políticas y procedimientos de control y contención del riesgo:
i) Establecer procedimientos operativos y de comunicación con el Banco de México ante la actualización de algún evento de riesgo.
ii) Definir las reglas y procedimientos para la utilización de recursos para el control y contención del riesgo.
iii) Establecer las medidas que se adoptarán en relación con cada uno de los riesgos para impedir que los Clientes de la Institución incurran en algún tipo de riesgo derivado de la Operación con Activos Virtuales.
e. Plan de recuperación:
i) Establecer políticas, procedimientos y tiempos para recuperar la actividad y servicios afectados en casos de contingencia, así como los recursos que se hubieren utilizado para la contención del riesgo.
ii) Establecer procedimientos para la liquidación ordenada de los compromisos con los Clientes denominados en moneda de curso legal, en caso de que ya no les sea posible continuar con las operaciones autorizadas de conformidad con las presentes Disposiciones.
f. Políticas y procedimientos de revisión y ajustes de la administración de riesgos:
i) Evaluar la manera en que los cambios relacionados con las condiciones de la prestación de sus servicios pueden afectar los niveles y límites de riesgo establecidos y procedimientos de medición y mitigación de riesgos.
ii) Evaluar, al menos cada año calendario, la cantidad y características de los recursos señalados en la asignación de recursos propios para la administración de riesgos.
iii) Documentar y justificar la necesidad de cambios en el manual de administración de riesgos a partir de los resultados de las evaluaciones a que se refiere el inciso anterior.
g. Divulgación de la administración de riesgos:
i) Informar los resultados de las pruebas realizadas al Órgano de Administración y personal responsable de la toma de decisiones de la Institución.
ii) Informar los ajustes que resulten de los procedimientos de revisión y ajustes de la administración de riesgos al personal responsable de la toma de decisiones de la Institución cuando sea aplicable según las políticas que hayan definido conforme a la fracción V, literal f, inciso iii, de la presente disposición.
iii) Informar al Banco de México acerca de la afectación o vulnerabilidad que cada riesgo contenido en el manual de administración de riesgos pudiera generar, en consecuencia, a otros participantes del mercado como resultado de las Operaciones con Activos Virtuales que llegara a realizar la Institución en la solicitud de autorización, por lo menos una vez al año posterior a la autorización, así como en cualquier momento que el Banco de México lo considere necesario.
Las Instituciones deberán realizar una revisión cada año calendario al marco integral de riesgos a que se refiere la presente fracción V con la finalidad de mantenerlo actualizado. En caso de requerir dicha actualización, deberán realizar las modificaciones necesarias y, en caso de que se generen nuevos riesgos, deberán reportar al Banco de México cuáles son los nuevos riesgos generados y su potencial impacto.
7.a Procedencia de la autorización.- El Banco de México, respecto de la solicitud de autorización que reciba para la realización de Operaciones con Activos Virtuales en términos de las presentes Disposiciones, evaluará si dicha solicitud reúne los requisitos previstos en la Disposición 6.a anterior. Asimismo, el Banco de México podrá requerir a la Institución cualquier información que estime necesaria a fin de analizar la referida solicitud y, en su caso, determinar si el activo virtual materia de dicha solicitud y la Operación Interna que se pretende realizar con dicho activo cumplen con lo establecido en estas Disposiciones.
8.a Modificaciones al Manual Operativo.- En aquellos casos en que las Instituciones pretendan realizar cambios al manual operativo, en alguno de los elementos mencionados en la fracción IV de la 6.a de estas Disposiciones, dicha Institución deberá presentar el proyecto de modificación al Banco de México para su previa autorización junto con la actualización de su marco integral de riesgos, o en su caso, una explicación detallada de por qué no es necesario un cambio en dicho marco.
El Banco de México resolverá respecto al proyecto de modificación de que se trate dentro de los 30 Días Hábiles Bancarios siguientes a aquel en que la Institución de que se trate presente su proyecto. Hasta en tanto el Banco de México emita la respuesta correspondiente, la Institución de que se trate deberá continuar con su Operación Interna conforme a los términos del manual operativo vigente.
En aquellos casos en que la Institución solicitante manifieste y acredite a satisfacción del Banco de México en su escrito de solicitud que el proyecto de reforma al manual operativo resulta indispensable para que la Institución continúe con sus Operaciones Internas, el plazo para que el Banco de México emita la respuesta correspondiente será de 60 Días Hábiles Bancarios, y durante el referido plazo la Institución podrá realizar sus Operaciones Internas, en términos del proyecto de modificaciones al manual operativo.
Transcurridos los plazos aplicables a que se refieren los párrafos anteriores de la presente Disposición, sin que el Banco de México haya dado respuesta a la solicitud de autorización, se entenderán las resoluciones correspondientes en sentido negativo a la Institución promovente.
El Banco de México podrá solicitar cambios o documentos adicionales a la propuesta del manual operativo dentro de los plazos previstos en la presente Disposición, en lo que corresponda y, en caso de que el Banco de México no autorice los cambios en el manual de manera expresa, las instituciones no podrán seguir realizando las Operaciones con Activos Virtuales respectivas.
9.a Revocación.- El Banco de México podrá declarar la revocación de la autorización que haya otorgado cuando la Institución:
I. No actualice el manual operativo y el marco integral de riesgos a que se refieren las fracciones IV y V de la 6.a de estas Disposiciones en los términos ahí descritos.
II. No informe al Banco de México cuando se generen riesgos adicionales para la Institución o para los participantes del mercado como resultado de las Operaciones con Activos Virtuales que llegara a realizar la Institución.
III. No implemente las medidas para impedir que sus Clientes incurran en algún riesgo, directo o indirecto, derivado de la Operación con Activos Virtuales.
IV. No observe las políticas y procedimientos de control y contención del riesgo definidas en el marco integral de riesgos que hubiera presentado.
V. No divulgue información de la administración de riesgos en términos de dicho marco integral de riesgos.
VI. Lleve a cabo Operaciones con Activos Virtuales en términos distintos a los previstos en la autorización respectiva.
Lo anteriormente establecido en la presente Disposición será sin perjuicio de la imposición de sanciones a que haya lugar en términos de las disposiciones aplicables.
CAPÍTULO III
CONTRATACIÓN DE TERCEROS
10.a Servicios que se pueden contratar con terceros.- Las Instituciones podrán contratar con terceros, incluyendo a otras Instituciones nacionales o entidades extranjeras, la prestación de servicios relacionados con Operaciones con Activos Virtuales con sujeción a lo señalado en el presente Capítulo.
Las Instituciones deberán asegurarse, que las personas que les proporcionen los servicios, guarden la debida confidencialidad de la información relativa a las operaciones celebradas con sus Clientes, así como la relativa a estos últimos, en caso de tener acceso a ella, en términos de las presentes Disposiciones.
11.a Solicitud de autorización de contratación de terceros.- Las Instituciones, para contratar a un tercero para la prestación de servicios relacionados con Operaciones con Activos Virtuales deberán obtener autorización previa del Banco de México, con base en la solicitud que presenten al efecto.
Junto con la solicitud a que se refiere la presente Disposición, las Instituciones deberán proporcionar, respecto del tercero con el cual pretendan acordar la prestación de servicios relacionados con Operaciones con Activos Virtuales, la documentación e información que se señala a continuación:
I. Proyecto de contrato o instrumento jurídico que pretenda celebrar con el tercero. El referido contrato o instrumento deberá señalar expresamente la voluntad del tercero, respecto de los servicios materia de contratación, a sujetarse incondicionalmente a las presentes Disposiciones, así como a todas aquellas obligaciones a las que se sujeta la Institución que lo haya contratado respecto del servicio relacionado con la Operación con Activos Virtuales, incluyendo de manera enunciativa y no limitativa a las siguientes:
a) Permitir que el Banco de México realice visitas para verificar el cumplimiento de los requisitos aplicables a que se refieren las presentes Disposiciones.
b) Proporcionar la información que el Banco de México solicite en los plazos que este indique.
c) Permitir que la Institución que lo haya contratado y un auditor externo independiente de la Institución tengan acceso a sus instalaciones, documentos, equipos e información en general, y que realicen auditorías respecto de los servicios contratados en relación con lo establecido en las presentes Disposiciones
d) Entregar al auditor externo independiente de la Institución los libros, códigos de sistemas, registros, manuales y documentos en general, relativos a la prestación del servicio relacionado con la Operación con Activos Virtuales.
e) Guardar confidencialidad respecto de la información relativa a los aspectos técnicos del funcionamiento del servicio relacionado con la Operación con Activos Virtuales, así como de la información de las operaciones que conforme a la legislación aplicable esté definida como datos personales y que recabe como parte de las actividades que realice al amparo del contrato o instrumento jurídico que celebre con la Institución.
f) Contar, en su caso, con lineamientos de seguridad y planes de continuidad de negocio que se ajusten a lo establecido en las Disposiciones aplicables.
g) Establecer la prohibición para que el tercero subcontrate la prestación de los servicios relacionados con la Operación con Activos Virtuales que preste a la Institución, y
h) Estipular en el contrato su rescisión en caso de que el tercero no preste los servicios objeto del contrato en los términos y condiciones estipulados o que ocasione el incumplimiento de la Institución a las obligaciones que le resultan aplicables conforme a la Ley, las presentes Disposiciones y demás normatividad correspondiente.
II. Aprobación del consejo de administración u órgano equivalente que tenga bajo su responsabilidad las funciones de administración del tercero en la cual deberá constar que:
a) La contratación no pone en riesgo el cumplimiento de las disposiciones aplicables a la Institución respecto de su Operación con Activos Virtuales, y
b) Las prácticas de negocio del tercero son consistentes con la operación de la Institución;
III. Documentos que acrediten la experiencia, capacidad técnica y suficiencia de recursos humanos del tercero respecto de los servicios materia de contratación;
IV. El procedimiento que ofrezca el tercero a la Institución para identificar, medir, vigilar, limitar, controlar, informar y revelar los riesgos que puedan derivarse de la prestación de sus servicios;
V. Los mecanismos para la solución de controversias pactados entre la Institución y el tercero, relativas al contrato o instrumento jurídico que hayan celebrado;
VI. El procedimiento para evaluar el desempeño del tercero en la prestación de los servicios, el cumplimiento de sus obligaciones contractuales y la periodicidad de la evaluación;
VII. El documento que describa las acciones que se llevarán a cabo para la terminación ordenada del mismo, en el evento de que se suspenda la prestación del servicio a través del tercero y no sea posible sustituir inmediatamente al tercero en dicha prestación, y
VIII. Aquella documentación, información y certificaciones que adicionalmente el Banco de México le solicite.
12.a Terceros residentes en el extranjero.- En el evento de que la Institución celebre un contrato o instrumento jurídico con terceros, que presten el servicio total o parcialmente fuera del territorio nacional relacionado con los servicios de Operación Interna con activos virtuales, además de los requisitos establecidos en la Disposición anterior, la Institución deberá:
I. Acreditar que los terceros residan en países que, por una parte, su derecho interno proporcione protección a los datos de las personas, resguardando su confidencialidad, o bien, que mantengan suscritos acuerdos internacionales con el Estado Mexicano en materia de protección de datos personales y que, por otra parte, permitan el intercambio de información entre autoridades competentes del exterior;
II. Prever adicionalmente en el instrumento en el que conste la aprobación del consejo de administración u órgano equivalente que tenga bajo su responsabilidad las funciones de administración a que se refiere la fracción II de la Disposición anterior, que no habrá impacto en la continuidad operativa de la Institución, con motivo de la distancia geográfica y, en su caso, del lenguaje que se utilizará en la prestación del servicio, y
III. Contar con esquemas de soporte técnico que permitan solucionar problemas e incidencias con independencia de las diferencias que, en su caso, existan en husos horarios y días hábiles.
Adicionalmente, en el evento de que alguna autoridad del país de origen del tercero le requiera información relacionada con los servicios que le presta a la Institución, esta última deberá informar al Banco de México respecto de tal situación inmediatamente después de que tenga conocimiento y deberá proporcionarle copia de la información que el tercero haya entregado a la autoridad de su país de origen.
13.a Documentación que acredite el cumplimiento de las Disposiciones respecto a la contratación de terceros.- La documentación a que se refieren las Disposiciones del presente Capítulo deberá estar en todo momento a disposición del Banco de México, en el domicilio de la Institución.
La Institución deberá obtener autorización previa y por escrito del Banco de México, la cual deberá solicitarse a través de la Gerencia de Autorizaciones y Consultas de Banca Central, para efectuar cualquier modificación al contrato o instrumento jurídico que hayan celebrado con el tercero. De igual forma, deberá informar al Banco de México, a través de la mencionada Gerencia, respecto de cualquier reforma al objeto social del tercero o modificaciones a la organización interna, que puedan afectar la prestación del servicio, con por lo menos cinco Días Hábiles Bancarios de anticipación a que estas se lleven a cabo.
En el evento de que la documentación a que se refieren las Disposiciones del presente capítulo se encuentre escrita en un idioma distinto al español, cuando el Banco de México así lo requiera, deberá presentarse junto con su correspondiente traducción oficial debidamente legalizada.
14.a Responsabilidad.- La Institución responderá en todo momento por los servicios prestados por
terceros relacionados con los servicios de Operación Interna con activos virtuales, aun cuando estos se lleven a cabo en términos distintos a los pactados. De igual forma, la Institución responderá por las acciones de los terceros que deriven en incumplimiento a las presentes Disposiciones o cualquier otra disposición aplicable. Lo anterior, procederá sin perjuicio de las responsabilidades civiles, administrativas o penales en que dichos terceros puedan incurrir por las violaciones a las disposiciones legales aplicables.
Lo señalado en la presente Disposición deberá preverse expresamente en el contrato o instrumento jurídico que celebren la Institución y el tercero.
15.a Suspensión de la prestación del servicio.- La Institución deberá abstenerse de utilizar el servicio del tercero relacionado con los servicios de Operación Interna con activos virtuales cuando advierta cambios en la operación de este o en los servicios contratados de forma distinta a lo estipulado al efecto que puedan afectar el cumplimiento de las presentes Disposiciones, o bien, cuando identifique o tenga conocimiento del incumplimiento por parte del tercero a la normatividad aplicable a la propia Institución o a dicho tercero.
La Institución deberá informar por escrito al Banco de México por conducto de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos, sobre la suspensión o terminación de la prestación del servicio por parte del tercero, las causas que la motivan, así como las acciones que se encuentran realizando para la continuidad, con al menos 20 Días Hábiles Bancarios previos a la fecha de suspensión o terminación de la prestación del servicio.
Con independencia de lo anterior, en caso de que el Banco de México, en ejercicio de sus facultades de supervisión, detecte alguna infracción de la Institución a la Ley o a las presentes Disposiciones como consecuencia de las acciones u omisiones del tercero contratado en términos del presente Capítulo, podrá revocar la autorización que haya otorgado conforme a la 11.a de las presentes Disposiciones.
CAPÍTULO IV
DE LA EVALUACIÓN A TRAVÉS DE TERCEROS INDEPENDIENTES
16.a Contratación de Terceros Independientes.- Las Instituciones deberán contratar los servicios de un Tercero Independiente, para la evaluación del nivel de cumplimiento de los requerimientos previstos en las presentes Disposiciones.
17.a Evaluación del Tercero Independiente.- La evaluación de nivel de cumplimiento que lleve a cabo el Tercero Independiente a que se refiere la Disposición anterior deberá realizarse cada dos años.
El informe de la evaluación de cumplimiento deberá ser entregado por el Tercero Independiente al Órgano de Administración de la Institución y presentado al comité de auditoría de dicha Institución, cuando cuente con este. De igual forma, la Institución deberá enviar al Banco de México a través de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos el referido informe, dentro de los 5 Días Hábiles Bancarios siguientes a la presentación del informe al Órgano de Administración.
Las Instituciones no podrán contratar los servicios de un Tercero Independiente, ni de las personas morales por medio de las cuales presten los servicios respectivos, para obtener la evaluación de cumplimiento a que se refiere la presente Disposición por más de tres periodos de evaluación consecutivos. Sin perjuicio de lo anterior, la Institución podrá designar nuevamente al mismo Tercero Independiente o persona moral referida, después de una interrupción mínima de cinco años contados a partir de la última evaluación de cumplimiento que hubiere otorgado respecto de dicha Institución.
18.a Calificación y período de independencia del Tercero Independiente.- Los Terceros Independientes que evalúen el nivel de cumplimiento que las Instituciones den a los requisitos a que se refieren las presentes Disposiciones, así como las personas morales por medio de las cuales presten los servicios respectivos, deberán ser independientes a la fecha de celebración del contrato de prestación de servicios, durante el desarrollo de la evaluación de cumplimiento y hasta la emisión del reporte de la evaluación de cumplimiento de que se trate.
Se considerará que no existe independencia cuando el Tercero Independiente o la persona moral por medio del cual preste sus servicios se ubique en alguno de los supuestos a que se refiere el artículo 6, fracciones I a VI, IX y X, de las "Disposiciones de carácter general aplicables a las entidades y emisoras supervisadas por la Comisión Nacional Bancaria y de Valores que contraten servicios de auditoría externa de estados financieros básicos", emitidas por la CNBV, así como en los siguientes:
I. El Tercero Independiente, el despacho en el que labore o algún socio o empleado del mismo, proporcione a la Institución, adicionalmente al de evaluación de cumplimiento, cualquiera de los servicios siguientes:
a. Consultoría sobre la elaboración de los procesos, procedimientos, políticas y criterios, así como los sistemas con que la Institución deba contar para dar cumplimiento a los requisitos a que se
refieren las presentes Disposiciones.
b. Operación, directa o indirecta, de los sistemas de información financiera de la Institución, o bien, administración de su red local.
c. Supervisión, diseño o implementación de los sistemas informáticos (hardware y software) de la Institución, que lleven a cabo actividades para las operaciones que la Institución realice.
d. Administración, temporal o permanente, participando en las decisiones de la Institución.
e. Auditoría interna relativa a la evaluación del nivel de cumplimiento de los requerimientos a que se refieren las presentes Disposiciones.
f. Reclutamiento y selección de personal de la Institución para que ocupen cargos de director general o de los dos niveles inmediatos inferiores al de este último.
g. Cualquier otro que implique o pudiera implicar conflictos de interés respecto al trabajo de auditoría externa, y
II. Los ingresos que el Tercero Independiente perciba o vaya a percibir por llevar a cabo la evaluación de la Institución, dependan del resultado de la propia evaluación de cumplimiento o del éxito de cualquier operación realizada por la referida Institución que tenga como sustento la evaluación de cumplimiento.
CAPÍTULO V
DISPOSICIONES GENERALES
19.a Envío de solicitudes de autorización al Banco de México.- Las solicitudes de autorización a que hace referencia la 6.a y 11.a de estas Disposiciones, deberán ser enviadas por las Instituciones vía correo electrónico a la Gerencia de Autorizaciones y Consultas de Banca Central del Banco de México a la dirección autorizaciones@banxico.org.mx.
Las personas que suscriban las solicitudes deberán:
I. Contar con un Certificado Digital vigente expedido a su nombre, y
II. Suscribir las solicitudes digitalmente utilizando la herramienta que el Banco de México determine para estos fines y que dé a conocer, así como el Certificado Digital al que se refiere la fracción I de esta Disposición.
En los casos en que las Instituciones no tengan acceso a los elementos necesarios para enviar las solicitudes firmadas digitalmente, podrán entregarlas a la Gerencia de Autorizaciones y Consultas de Banca Central, en Avenida 5 de Mayo número 2, Colonia Centro, Código postal 06000, Ciudad de México, en original, por duplicado, y suscritas por personas que cuenten con facultades para ejercer actos de administración o de dominio, para lo cual deberán acompañar a su escrito de solicitud copia certificada y simple de las escrituras en las que consten las referidas facultades, adicionando un comunicado en el que especifiquen el motivo por el cual se ven en la necesidad de enviar solicitudes por este medio alterno.
TRANSITORIAS
PRIMERA.- La presente Circular entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.
SEGUNDA.- Con independencia de lo establecido en las presentes Disposiciones, sin perjuicio de los mecanismos que se establezcan para el intercambio y discusión de opiniones, ideas y proyectos entre el Banco de México, las demás Autoridades Financieras y el sector correspondiente a la materia de estas Disposiciones, cualquier persona podrá presentar al Banco de México, durante el plazo de sesenta Días Hábiles Bancarios siguientes a la publicación de estas Disposiciones en el Diario Oficial de la Federación, sus comentarios o sugerencias respecto de lo establecido en esta Circular, así como, en general, de las Operaciones con Activos Virtuales y sus modalidades, incluidas las características de estos últimos, que podrían quedar sujetos a las disposiciones de carácter general que corresponde emitir al Banco de México.
Los comentarios y sugerencias que las personas indicadas en esta disposición presenten al Banco de México serán públicas. Para estos efectos, dichas personas deberán presentar sus comentarios y sugerencias por medio del portal de consulta pública establecido por el Banco de México en su sitio de internet, ubicado en la siguiente dirección:
https://www.banxico.org.mx/ConsultaRegulacionWeb/
El Banco de México considerará los comentarios y sugerencias presentados conforme a lo anterior y, dentro de los sesenta Días Hábiles Bancarios posteriores a la conclusión del plazo indicado en el primer
párrafo de la presente Disposición, publicará en su sitio de internet un reporte sobre las recomendaciones y sugerencias recibidas, sin perjuicio de las facultades que este pueda ejercer como resultado de lo anterior.
Ciudad de México, a 6 de marzo de 2019.- El Director General de Operaciones y Sistemas de Pagos, Jaime José Cortina Morfín.- Rúbrica.- El Director General Jurídico, Luis Urrutia Corral.- Rúbrica.
Para cualquier consulta sobre el contenido de la presente Circular, favor de comunicarse a la Gerencia de Autorizaciones y Consultas de Banca Central a los teléfonos (55) 5237-2308, (55) 5237-2317 o (55) 5237-2000, extensión 3200.
En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
|