DOF: 23/09/2021
RESOLUCIÓN que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito

RESOLUCIÓN que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.

La Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno, con fundamento en lo dispuesto por los artículos 46 Bis 1, 46 Bis 2, 52, octavo párrafo y 98 Bis de la Ley de Instituciones de Crédito, así como 4, fracciones XXXVI y XXXVIII, 12, fracción XV, y 16 fracciones I y VI de la Ley de la Comisión Nacional Bancaria y de Valores, y
CONSIDERANDO
Que en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de reducir el costo de cumplimiento de las Disposiciones de carácter general aplicables a las instituciones de crédito, la Comisión Nacional Bancaria y de Valores a través de la presente resolución modificatoria añade siete excepciones a las contempladas en el artículo 317 de las Disposiciones, mismas que establecen los casos que no será aplicable el Capítulo XI del Título Quinto de las mismas, por lo cual no se requerirá realizar trámite alguno por parte de las instituciones de crédito ante la propia Comisión, al contratar dichos servicios;
Que las Disposiciones de carácter general aplicables a las instituciones de crédito establecen que, para el inicio de sesión en el servicio de banca electrónica, las instituciones de crédito deben solicitar y validar el identificador de usuario, así como un factor de autenticación categoría 2 o categoría 4, lo cual brinda certeza razonable sobre la confidencialidad de la información de los usuarios de dicho servicio. No obstante ello, dada la evolución y disponibilidad de nuevas tecnologías que han sido desarrolladas para facilitar el uso de estas tecnologías en los dispositivos móviles, permitiendo establecer especificaciones de seguridad para autenticación utilizando diversas capas de seguridad como aquellas basadas en criptografía asimétrica (llaves pública y privada), resulta necesario ampliar el alcance de la regulación para que se considere, como una opción adicional, el uso del factor de autenticación categoría 3 para el inicio de sesión o una combinación de estos;
Que el Artículo 46 Bis 1 de la Ley de Instituciones de Crédito permite a las instituciones de crédito pactar con terceros, incluyendo a otras instituciones de crédito o entidades financieras, la prestación de servicios necesarios para su operación, así como comisiones para realizar las operaciones previstas en el Artículo 46 de dicha ley, de conformidad con las disposiciones de carácter general que expida la Comisión Nacional Bancaria y de Valores;
Que la Comisión Nacional Bancaria y de Valores tiene la misión de fomentar la eficiencia y desarrollo incluyente del sistema financiero mexicano en beneficio de la sociedad. Para ello, es necesario acercar el uso de una gama de productos y servicios financieros que son ofrecidos por las distintas entidades financieras a un mayor número de sectores de la población, bajo una regulación apropiada que cuide los intereses de los usuarios del sistema y fomente sus capacidades financieras;
Que la figura de corresponsalía bancaria es promovida con la finalidad de incentivar el incremento de puntos de distribución de servicios financieros, representando una alternativa flexible, de alta penetración y bajo costo para el oferente de servicios financieros, en beneficio del usuario final. La inclusión financiera, a través de esta figura, busca atraer a la población que no participa del sistema financiero formal, al incrementar las oportunidades para contar con servicios financieros que van desde el ahorro, el crédito, los pagos y las transferencias hasta los seguros;
Que en ese orden de ideas, para continuar con las acciones para fomentar la inclusión financiera es necesario modificar la regulación vigente en materia de contratación con terceros de servicios y comisiones, para facilitar los procesos de autorización que tienen que tramitarse ante la autoridad financiera y estableciéndose los supuestos en los que no se requiere de esta; brindando mayor claridad en los requerimientos que las entidades financieras deberán presentar ante la Comisión Nacional Bancaria y de Valores para dichos efectos;
Que dada la importancia que está tomando la participación de lo que se ha denominado Administrador de Comisionistas en las corresponsalías bancarias, pues a través de ellos las operaciones realizadas por estos últimos se pueden ofrecer de una manera uniforme dentro de un estándar de calidad alto, es necesario clarificar esta figura y regular su participación en los contratos de comisión mercantil que celebren las instituciones de crédito con terceros, y
Que no obstante las flexibilizaciones que se hacen a la regulación, es importante también fortalecer los aspectos de seguridad de la información en los procesos e infraestructura tecnológica de los corresponsales bancarios, para evitar incidentes de seguridad de la información que conlleven la ejecución de transacciones apócrifas desde las infraestructuras tecnológicas de los corresponsales y la interrupción de los servicios al público, ha resuelto expedir la siguiente:
 
RESOLUCIÓN QUE MODIFICA LAS DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS
INSTITUCIONES DE CRÉDITO
ÚNICO. Se REFORMAN los artículos 1, fracción VI; 308, fracción II; 317; 317 Bis, primer párrafo y fracción II del segundo párrafo; 318; 319; 320; 321; 322; 323, fracción III y segundo párrafo; 324, fracciones II, III, segundo párrafo, V a XIII y último párrafo; 325; 329, segundo párrafo; 331, segundo párrafo; 332 primer párrafo y fracción II del segundo párrafo; 333; 334, primer párrafo y fracción VII; se ADICIONAN los artículos 308, cuarto párrafo; 318 Bis; 318 Bis 1; 321 Bis; 321 Bis 1; 321 Bis 2; 321 Bis 3; y 334, fracción IX; se DEROGAN los artículos 330 y 335, y se SUSTITUYEN los Anexos 52, 57, 58 y 59 de las "Disposiciones de carácter general aplicables a las instituciones de crédito", publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005 y modificadas por última vez mediante resolución publicada en dicho medio de difusión el 6 de agosto de 2021, para quedar como sigue:
"Anexo 1 a 51    . . .
Anexo 52          Lineamientos mínimos de operación y seguridad para la contratación de servicios de apoyo tecnológico
Anexo 53 a 56    . . .
Anexo 57          Criterios para evaluar la experiencia y capacidad técnica de los comisionistas que operen al amparo de la sección segunda del Capítulo XI del Título Quinto de las disposiciones
Anexo 58          Requerimientos técnicos para la operación de medios electrónicos para las operaciones contempladas en la Sección Segunda del Capítulo XI del Título Quinto de las disposiciones
Anexo 59.         Información que deberá presentarse en la solicitud de autorización del comisionista
Anexo 60 a 73    . . ."
"Artículo 1.-       . . .
I. a V.  . . .
VI.      Administrador de Comisionistas: A la persona moral que conforma una red de comisionistas bancarios, que opera al amparo de lo dispuesto por el Artículo 321 Bis 2 de las presentes disposiciones.
VII. a CXCVII.     . . ."
"Artículo 308.- . . .
I.        . . .
II.       Un Factor de Autenticación de las Categorías 2, 3 o 4 a que se refiere el Artículo 310 de las presentes disposiciones.
. . .
. . .
. . .
Tratándose del Factor de Autenticación Categoría 3, las Instituciones no podrán considerar el uso de medios o dispositivos electrónicos externos o físicos entregados a sus Usuarios que generan Contraseñas dinámicas de un solo uso, ni las tablas aleatorias de Contraseñas."
"Artículo 317.- Las Instituciones podrán contratar con terceros, incluyendo a otras Instituciones o entidades financieras, la prestación de servicios necesarios para su operación, así como celebrar comisiones para realizar las operaciones previstas en el Artículo 46 de la Ley, con sujeción a lo señalado en el presente Capítulo XI del Título Quinto de estas disposiciones.
Las disposiciones del presente Capítulo XI, no serán aplicables cuando las Instituciones contraten los servicios que se indican a continuación:
I.     Los servicios profesionales o de asesoría, incluyendo mandatos y comisiones distintos a aquellos celebrados para la realización de las operaciones señaladas en el Artículo 46 de la Ley.
II.     Los servicios auxiliares y complementarios que la Institución reciba de las sociedades a que se refiere el Artículo 88 de la Ley, de las empresas a que se refiere la fracción XII del Artículo 5 de la Ley para Regular las Agrupaciones Financieras, así como los que contraten con sus subsidiarias financieras o demás entidades financieras integrantes del grupo financiero al que pertenezca la
propia Institución.
III.    Los servicios de recepción de recursos de los acreditados para el pago de créditos a favor de la Institución acreditante, así como la realización de procesos operativos y de administración de bases de datos que tengan por objeto la gestión de su cartera de crédito en cualquiera de sus etapas, cuando el tercero con quien pretendan contratar sea algún organismo de fomento supervisado por la Comisión o fideicomiso público que forme parte del Sistema Bancario Mexicano en términos del Artículo 125 de la Ley, o bien, un organismo descentralizado de la Administración Pública Federal, cuyo objeto sea coadyuvar con la actividad prioritaria del Estado de impulsar el desarrollo de las actividades agropecuarias, forestales, pesqueras y demás actividades económicas vinculadas al medio rural, y que adicionalmente estén sujetos a la supervisión de la Comisión, debiendo observarse lo señalado en el Artículo 317 Bis siguiente.
IV.   Servicios de pagos referenciados de créditos con cargo a Tarjetas de crédito o débito, o en efectivo, que se realicen a través de Empresas Especializadas utilizadas en la red de medios de disposición y que, adicionalmente, estén sujetas a la supervisión de la Comisión como Participantes en la Red de Pagos con Tarjeta, según dichos términos se definen en las Disposiciones de carácter general aplicables a las redes de medios de disposición, emitidas conjuntamente por la Comisión y el Banco de México, o las que las sustituyan. Lo anterior, sin perjuicio de la facultad de la Comisión para formular directamente a las instituciones de crédito los requerimientos de información que deriven de la supervisión que realice con motivo de las operaciones que las Instituciones lleven a cabo a través de dichas Empresas Especializadas.
V.    Servicios de manufactura, envío a domicilio o distribución de:
a)   Tarjetas de crédito inactivas, considerando aquellas en las que se cuenta con un Número de Identificación Personal (NIP) temporal, definido o generado por las propias Instituciones, el cual deba ser modificado inmediatamente después de que el Cliente inicie la Sesión correspondiente en Medios Electrónicos y tarjetas de débito inactivas.
b)   Esqueletos de cheques y libretas para depósito de ahorros.
VI.   Servicios de traslado de valores.
VII.   Servicios de gestión para la cobranza administrativa, incluyendo la delegada, conforme a los términos originalmente pactados con el cliente y la recuperación de la cartera crediticia en procesos administrativos o judiciales. La presente fracción no comprende la recepción de pagos a que se refiere la fracción IV del Artículo 319 de las presentes disposiciones.
VIII.  Servicios de mantenimiento preventivo y correctivo de equipos y sistemas de cómputo en red, propios, en arrendamiento, o en co-ubicación, siempre y cuando el tercero contratado no tenga permisos de acceso para conocer Información Sensible, información de configuración de seguridad de los equipos, ni a la administración de control de accesos.
IX.   Servicios de telecomunicaciones para la transmisión de información, siempre y cuando las Instituciones cuenten con:
a)   Esquemas de redundancia o mecanismos alternos en las telecomunicaciones de punto a punto que permitan contar con enlaces de comunicación que minimicen el riesgo de interrupción en el servicio de telecomunicaciones.
b)   Medidas para asegurar la transmisión de la Información Sensible del Usuario en forma cifrada punto a punto y elementos o controles de seguridad en cada uno de los nodos involucrados en el envío y recepción de datos.
X.    Los servicios relacionados con la gestión de la Institución, tales como limpieza, seguridad, mensajería y correspondencia, almacenamiento y resguardo físico de información y documentación, entre otros.
XI.   El derecho de uso por licenciamiento de software que se instale y resida en la Infraestructura Tecnológica de la propia Institución que lo esté adquiriendo.
XII.   El servicio de procesamiento de operaciones crediticias en su fase de promoción y evaluación.
XIII.  Los servicios de timbrado de estados de cuenta de empresas que conformen el padrón de órganos certificadores autorizados ante el Sistema de Administración Tributaria.
XIV. Los servicios de liquidación y compensación de operaciones con tarjetas relacionados con entidades establecidas como Cámaras de Compensación, de conformidad con las Disposiciones de carácter
general aplicables a las redes de medios de disposición, emitidas conjuntamente por la Comisión y el Banco de México, o las que las sustituyan.
XV.  Los certificadores de servicios de firma electrónica acreditados ante el Sistema de Administración Tributaria, así como los servicios de emisión de constancias de conservación de mensajes de datos y digitalización de documentos por prestadores de servicios de certificación autorizados por la Secretaría de Economía.
XVI. El servicio de administración de bases de datos de información biométrica o de consulta de esta información que provean las autoridades financieras, electorales o fiscales mexicanas, o dependencias federales.
XVII. El servicio para desarrollar o administrar interfaces de programación de aplicaciones informáticas estandarizadas que permitan compartir los datos financieros abiertos y datos agregados a que se refieren las fracciones I y II del Artículo 76 de la Ley para Regulas las Instituciones de Tecnología Financiera; en el entendido que tratándose del servicio para el desarrollo o administración de interfaces de programación de aplicaciones informáticas estandarizadas que permitan compartir datos transaccionales a que se refiere la fracción III del referido Artículo 76, las Instituciones deberán observar lo previsto en los Artículos 326 o 328 de las presentes disposiciones, según corresponda.
Tampoco resultarán aplicables los preceptos del Capítulo XI del Título Quinto de estas disposiciones cuando las Instituciones contraten a otras entidades sujetas a la supervisión de la Comisión que dentro de su objeto social se encuentre el poder recibir mandatos o comisiones y que tengan permitido realizar las operaciones objeto del mandato o comisión de que se trate y, adicionalmente, cuenten con regulación en materia de riesgo tecnológico, uso de medios electrónicos y seguridad de la información, además de contar con un régimen regulatorio de contratación con terceros.
Las Instituciones deberán pactar lo necesario para que las personas que les proporcionen los servicios a que se refiere este artículo y los previstos en el presente Capítulo XI, guarden la debida confidencialidad de la información relativa a las operaciones activas, pasivas y de servicios celebradas con sus clientes, así como la información relativa a dichos clientes, en caso de que tales personas tengan acceso a ella.
Para los servicios referidos en la fracción II anterior, las Instituciones deberán contar con políticas y procedimientos relativos a la realización de auditorías internas o externas sobre los servicios proporcionados, al menos una vez cada dos años, con el fin de evaluar los controles operativos implementados, el cumplimiento de las condiciones pactadas, así como las medidas de confidencialidad y seguridad de los servicios contratados.
Asimismo, las citadas Instituciones deberán mantener los datos de las personas que les proporcionen los servicios mencionados en el primero y segundo párrafos de este artículo, en el padrón a que se refiere el Artículo 333 de las presentes disposiciones.
Artículo 317 Bis.- Las Instituciones deberán solicitar a la Comisión la confirmación de las excepciones previstas en las fracciones III y IV del Artículo 317 de estas disposiciones, por lo menos con 20 días hábiles de anticipación a la prestación del servicio de que se trate. En caso de que la Institución no reciba respuesta por escrito por parte de la Comisión en un plazo de 20 días hábiles posteriores a la recepción de la solicitud, podrá iniciarse la prestación del respectivo servicio.
. . .
I.     . . .
II.     Una explicación del servicio a contratar, especificando la forma en que el tercero recibirá los recursos para el pago de créditos respectivos, manifestando si en adición a tal operación, el tercero prestará algún otro servicio que requiera presentar el aviso u obtener la autorización a que se refieren los Artículos 326 o 328 de las presentes disposiciones, respectivamente.
Artículo 318.- Las Instituciones, con las excepciones previstas en las fracciones I a XVII del Artículo 317 de las presentes disposiciones, para contratar cualquiera de los servicios o al celebrar las comisiones mercantiles a que se refiere el presente Capítulo XI, deberán cumplir con los requisitos siguientes:
I.     Tratándose de actividades que impliquen actuar frente al público en general, en todo momento, los terceros que las Instituciones contraten deberán actuar a nombre y por cuenta de la Institución comitente, por lo que la citada relación deberá documentarse mediante contratos de comisión mercantil.
       Asimismo, en ningún caso, dichos comisionistas podrán llevar a cabo aprobaciones y aperturas de
cuentas de operaciones activas, pasivas y de servicios, salvo que se trate de operaciones de las previstas por el Artículo 319, fracciones IX y X de las presentes disposiciones.
II.     Contar con un informe que especifique los procesos operativos o de administración de bases de datos y sistemas informáticos de la Institución que sean objeto de los servicios a contratar, así como las políticas y criterios para seleccionar al tercero, los cuales estarán orientados a evaluar la experiencia, capacidad técnica y recursos humanos del tercero con quien se contrate para prestar el servicio con niveles adecuados de desempeño, confiabilidad y seguridad, así como los efectos que pudieran producirse en una o más operaciones que realice la Institución.
       Las políticas y criterios a que se refiere el párrafo anterior deberán elaborarse por el director general u otro funcionario que este designe y ser aprobadas por el Consejo de Administración de la Institución, a propuesta del Comité de Riesgos o del Comité de Auditoría.
       El Comité de Auditoría será responsable de verificar la implementación de dichas políticas y criterios.
III.    Prever en el contrato de prestación de servicios o comisión respectivo, la aceptación incondicional del comisionista o del tercero que proporcione el servicio, para:
a)   De manera expresa:
1.   Recibir visitas domiciliarias por parte del auditor externo de la Institución, de la Comisión o de los terceros que la propia Comisión designe en términos de lo dispuesto por el Artículo 46 Bis 1 y el Artículo 117 de la Ley, a efecto de llevar a cabo la supervisión correspondiente, con el propósito de obtener información para constatar que los servicios o comisiones contratados por la Institución, le permiten a esta última cumplir con las disposiciones aplicables. Para que se realicen las visitas referidas, las Instituciones podrán designar un representante.
2.   Aceptar la realización de auditorías por parte de la Institución, en relación con los servicios o comisiones objeto de dicho contrato, a fin de verificar la observancia de las disposiciones aplicables a las Instituciones.
3.   Entregar, a solicitud de la Institución, al auditor externo de la propia Institución y a la Comisión o al tercero que dicha Comisión designe, libros, sistemas, registros, manuales y documentos en general, relacionados con la prestación del servicio o comisión de que se trate. Asimismo, permitir el acceso al personal responsable y a sus oficinas e instalaciones en general, relacionados con la prestación del servicio en cuestión.
4.   Informar a la Institución con por lo menos treinta días naturales de anticipación, respecto de cualquier reforma a su objeto social o en su organización interna que afecte la prestación del servicio o comisión objeto de la contratación.
5.   Guardar confidencialidad respecto de la información a la que se tenga acceso por la prestación del servicio o comisión, debiendo, además, establecer las medidas necesarias para mantener la seguridad de las operaciones y proteger la información de los clientes, manifestando entender y aceptar que, por virtud de lo señalado en el Artículo 46 Bis 1, párrafo tercero de la Ley, lo dispuesto en el Artículo 142 de dicha Ley también les será aplicable, así como a sus representantes, directivos y empleados, aun cuando dejen de laborar o prestar servicios a tales prestadores de servicios o comisionistas.
      Lo previsto en los subincisos 1. a 5. anteriores también resultará aplicable a los terceros con los que los prestadores de servicios a que se refiere el presente capítulo subcontraten directamente, total o parcialmente, el servicio prestado a la Institución.
b)   En adición al inciso anterior, el contrato de prestación de servicios o comisión respectivo deberá prever lo siguiente:
1.   Las restricciones o condiciones respecto a la posibilidad de que el tercero subcontrate, a su vez, la prestación del servicio.
2.   Las obligaciones que correspondan a la Institución y al tercero prestador del servicio o comisionista, así como los procedimientos para vigilar el cumplimiento de dichas obligaciones.
3.   Los mecanismos para la solución de disputas relativas al contrato de prestación de servicios o comisión mercantil.
4.   Las obligaciones y responsabilidades de las partes para proteger la información de los clientes de la Institución, debiendo esta última considerar los requisitos que establece la
legislación en materia de protección de datos personales para el tratamiento y transferencia de este tipo de datos, además de aquella relativa a la defensa de usuarios de servicios financieros y cualquier otra que tenga por objeto proteger los datos de los clientes de la Institución.
5.   La manifestación expresa de que la Institución responde, en todo momento, por el servicio que terceros contratados por ella, o sus comisionistas, proporcionen a los clientes bancarios, aun cuando la realización de las operaciones correspondientes se lleve a cabo en términos distintos a los pactados; así como por el incumplimiento a las disposiciones en que incurran dichos terceros o comisionistas, conforme a lo previsto en el Artículo 46 Bis 1, primer párrafo de la Ley.
6.   Los términos, condiciones y procesos para que el comisionista o el prestador de servicios garantice a la Institución la transferencia, devolución y eliminación segura de la información sujeta al servicio contratado cuando deje de prestarlo.
7.   Establecer medidas correctivas en caso de incumplimiento por parte de los terceros prestadores de servicios o comisionistas a las presentes disposiciones.
       Para los servicios proporcionados por una institución financiera del exterior que controle a las Instituciones filiales operando en México, solo será aplicable el inciso a) de la presente fracción.
IV.   Establecer lineamientos y mecanismos tendientes a la no afectación y adecuada prestación de los servicios de la Institución al público, su estabilidad financiera o continuidad operativa después de haber finalizado el contrato con el prestador de servicios o comisionista, considerando aquellos necesarios para verificar que este no conserve información alguna de la Institución o de sus clientes.
V.    Dar cumplimiento a los lineamientos mínimos de operación y seguridad que se señalan en los Anexos 52 y 58 de las presentes disposiciones, según corresponda, para la operación de medios electrónicos con comisionistas o si los servicios a contratar se refieren a la utilización de infraestructura tecnológica o de telecomunicaciones.
VI.   Verificar que los terceros, los accionistas de estos y, en su caso, subcontratados, así como los comisionistas y sus accionistas, en su caso, el Administrador de Comisionistas y los accionistas de estos últimos, no se encuentren dentro de las listas oficiales que emitan autoridades mexicanas, organismos internacionales, agrupaciones intergubernamentales o autoridades de otros países, de personas vinculadas o probablemente vinculadas con operaciones con recursos de procedencia ilícita, el terrorismo o su financiamiento, o con otras actividades ilegales. Para acreditar lo anterior, bastará con que la Institución, manifieste por escrito que se aseguró de que las personas señaladas en esta fracción no estaban relacionadas en dichas listas oficiales al momento de su contratación. Adicionalmente, la Institución deberá manifestar que conoce el negocio al que se dedica el comisionista.
VII.   Contar con la previa aprobación del Consejo o del Comité de Riesgos de la Institución de la evaluación del impacto que las contrataciones a que se refiere el presente Capitulo XI pudieran tener cualitativa o cuantitativamente en las operaciones que realice la Institución, conforme a su objeto, tomando en cuenta para ello, lo siguiente:
a)   La capacidad de la Institución para, en caso de contingencia, mantener la continuidad operativa y la realización de operaciones y servicios con sus clientes.
b)   La complejidad y tiempo requerido para encontrar un tercero que, en su caso, sustituya al originalmente contratado.
c)   La habilidad de la Institución para mantener controles internos apropiados y oportunidad en el registro contable, así como para cumplir con los requerimientos regulatorios en caso de suspensión del servicio por parte del tercero o comisionista.
d)   El impacto que la suspensión del servicio tendría en las finanzas, reputación y operaciones de la Institución.
e)   La vulnerabilidad de la información relativa a los clientes.
Las Instituciones que tengan el carácter de filiales podrán contratar servicios con la institución financiera del exterior que las controle, o bien, con las subsidiarias o empresas relacionadas a esta última, cuando dichas contrataciones tengan por objeto la realización de los procesos a que se refiere la Sección Tercera del presente Capítulo XI de este Título Quinto de estas disposiciones. En este supuesto, las Instituciones filiales no se sujetarán a lo dispuesto en las fracciones II, III en su inciso b), IV a VII, anteriores, siempre que la Institución filial de que se trate manifieste que se ajusta a las políticas y lineamientos que al respecto tenga establecida la referida institución financiera del exterior; se cercioró que tales políticas y lineamientos prevén los aspectos a que el presente artículo se refiere, y tiene acceso a las evaluaciones y resultados de las auditorías que realice la citada institución financiera del exterior. Igual supuesto resultará aplicable para el caso de servicios que un tercero provea tanto a la institución financiera del exterior como a la filial.
La Comisión podrá, en todo momento, solicitar los resultados de las auditorías a que se refiere el párrafo anterior, a través de las Instituciones filiales.
La Institución deberá establecer las políticas para el adecuado manejo, control y seguridad de la información generada, recibida, transmitida, procesada o almacenada en la ejecución de los servicios o comisiones que se refieran a la utilización de infraestructura tecnológica, de telecomunicaciones o de procesamiento de información, que se realicen parcial o totalmente fuera del territorio nacional. El establecimiento de dichas políticas será responsabilidad del director general, quien podrá delegar tales funciones a las áreas encargadas de la seguridad de la información de la Institución, mientras que el Comité de Auditoría y el auditor interno de la Institución serán responsables de vigilar su cumplimiento, de acuerdo con sus respectivas competencias.
Artículo 318 Bis.- Los requerimientos de información y, en su caso, las observaciones o medidas correctivas que deriven de la supervisión que realice la Comisión en términos de las presentes disposiciones, se realizarán directamente a la Institución. Asimismo, la Comisión podrá, en todo momento, ordenar la realización de las visitas y auditorías señaladas en el Artículo 318, fracción III, inciso a) anterior, precisando los aspectos que unas y otras deberán comprender, quedando obligada la propia Institución a rendir a la Comisión un informe al respecto.
Tratándose de las operaciones a que se refieren las fracciones IX, X y XI del Artículo 319 de las presentes disposiciones, la Comisión, de conformidad con lo previsto por las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito" emitidas por la Secretaría, o las que las sustituyan, podrá en cualquier momento, efectuar requerimientos de información, así como verificar con la Institución que los comisionistas que contrate cuenten con la información necesaria a fin de dar cumplimiento a lo previsto en dicho ordenamiento.
Adicionalmente, en caso de operaciones celebradas con instituciones de banca múltiple comitentes, la Comisión, sin perjuicio de las facultades que en materia de supervisión y vigilancia ejerza sobre las casas de bolsa en términos de lo dispuesto por la Ley del Mercado de Valores, podrá a solicitud del IPAB, realizar visitas de inspección a las casas de bolsa que actúen como comisionistas, a fin de verificar y evaluar que estas últimas clasifiquen en sistemas automatizados de procesamiento y conservación de datos, así como en cualesquiera otros procedimientos técnicos, la información a que se refiere el Anexo 58, sección V, numeral 3, letra B), inciso i) de las presentes disposiciones. En este último caso, la Comisión actuará ajustándose a lo dispuesto por el Artículo 124 de la Ley.
Artículo 318 Bis 1.- La Institución deberá practicar, por lo menos, una vez cada dos años, auditorías que tengan por objeto verificar el grado de cumplimiento del presente Capítulo XI, así como lo establecido en los Anexos 52 y 58 de las presentes disposiciones, según corresponda, cuando se trate de comisiones para la realización de las operaciones a que se refieren el Artículo 319 de estas disposiciones o de la prestación de servicios para la realización de procesos operativos, la administración de bases de datos o de sistemas informáticos, así como de la infraestructura, controles y operación del centro de cómputo del proveedor de servicios. Sin perjuicio de lo anterior, la Comisión podrá ordenar la realización de las citadas auditorías con anticipación a dicho periodo, cuando a su juicio existan condiciones de riesgo en materia de operación y seguridad de la información.
Artículo 319.- . . .
I. a III.   . . .
IV.   Pagos de créditos a favor de la propia Institución o de otra en efectivo, con cargo a tarjetas de crédito o de débito, incluyendo el pago por medio de cheques con cheques librados para tales fines a cargo de la Institución comitente o a cargo de cualquier otra Institución.
V.    Órdenes de pago en las oficinas bancarias de las Instituciones comitentes, o bien, a través de los propios comisionistas, así como transferencias entre cuentas, incluso a cuentas de otras Instituciones.
 
VI a IX.  . . .
X.    . . .
a) y b)   . . .
       En todo caso, la Institución deberá contar en tiempo real con la información relativa a los clientes que abran estas cuentas con el comisionista, sin perjuicio del cumplimiento de las demás obligaciones previstas en las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito", emitidas por la Secretaría, o las que las sustituyan.
XI.   Llevar a cabo por cuenta de las propias Instituciones, la compraventa de dólares en efectivo de los Estados Unidos de América exclusivamente con personas físicas.
       En la realización de las operaciones a que se refiere esta fracción, no será aplicable lo dispuesto en los Anexos 58 y 59 de estas disposiciones ni se encontrarán obligadas a emitir un comprobante de operación a sus clientes. No obstante lo anterior, las Instituciones deberán contar con los mecanismos necesarios para registrar y dar seguimiento a la transaccionalidad diaria que operen a través de cada uno de sus comisionistas. En todo caso, el mecanismo de control a que se refiere el presente párrafo deberá contener los elementos necesarios que les permitan a las Instituciones realizar auditorías para verificar el cumplimiento de lo señalado por la fracción III del Artículo 323 de las presentes disposiciones.
       En todo caso, las operaciones a que se refiere esta fracción, solo podrán realizarse por comisionistas cuyos establecimientos se encuentren ubicados en municipios o alcaldías en los que económicamente se justifique que sean receptores de dólares en efectivo, en función del alto flujo de personas físicas extranjeras y la derrama de ingresos de dichas personas sea significativa respecto de la actividad económica del municipio o alcaldía de que se trate o en municipios localizados dentro de la franja de veinte kilómetros paralela a la línea divisoria internacional norte del país o en los Estados de Baja California o Baja California Sur. Para efectos de lo anterior, la Secretaría dará a conocer a las Instituciones, la lista a que se refiere la 33ª Bis de las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito", emitidas por la Secretaría, o las que las sustituyan.
       Asimismo, podrán realizarse por comisionistas que tengan el carácter de establecimientos autorizados para la exposición y venta de mercancías extranjeras y nacionales en puertos aéreos internacionales, fronterizos y marítimos de altura, en términos de lo dispuesto por la fracción I del Artículo 121 de la Ley Aduanera, con independencia de su ubicación.
       Las Instituciones estarán obligadas a supervisar que las operaciones a que se refiere esta fracción sean realizadas por los comisionistas conforme a lo establecido en las presentes disposiciones, así como a suspender dichas operaciones en los establecimientos de los comisionistas que incurran en algún incumplimiento a lo establecido en la presente fracción.
XII.   Recepción de pagos de contribuciones federales, estatales, municipales y las correspondientes a la Ciudad de México, en efectivo o con cargo a tarjetas de crédito o débito, o bien, con cheques librados para tales fines a cargo de la Institución comitente.
Las operaciones a que se refiere la fracción IX de este artículo, únicamente podrán realizarse por Instituciones cuyo Índice de Capitalización sea al menos del 12 por ciento, así mismo las Instituciones deberán sujetarse a lo establecido en la fracción V del Anexo 58 del presente ordenamiento. Adicionalmente, para estos efectos, dichas Instituciones no estarán obligadas a observar lo dispuesto en el Anexo 57 de estas disposiciones.
Tratándose de las operaciones a que se refiere la fracción VIII del presente artículo que realicen las Instituciones a través de comisionistas que operen centros de atención telefónica, las Instituciones comitentes podrán realizar dichas operaciones debiendo observar lo dispuesto por las Secciones Primera, Tercera y Cuarta del presente Capítulo XI, así como por el Artículo 320 de estas disposiciones.
Las operaciones referidas en las fracciones I, III, IV, X y XII del presente artículo, únicamente podrán efectuarse en moneda nacional.
Artículo 320.- Las Instituciones que celebren comisiones mercantiles que tengan por objeto llevar a cabo las operaciones a que se refiere el Artículo 319 de las presentes disposiciones a través de comisionistas, requerirán presentar para autorización de la Comisión, por única ocasión, un plan estratégico de negocios que contemple la totalidad de las operaciones previstas en el referido artículo que podrían realizar, y deberá incluir el modelo de contrato de comisión mercantil que servirá de base para los contratos que se celebren con cada uno de los comisionistas con los que se pretenda pactar. Tratándose de instituciones de banca de desarrollo, la autorización del plan estratégico podrá solicitarse una vez obtenida la excepción a que se refiere el Artículo 47 de la Ley.
Para efectos del párrafo anterior, el modelo de contrato de comisión mercantil deberá incluir lo establecido en los Artículos 318, fracción III y 324 de las presentes disposiciones.
El plan estratégico a que se refiere el primer párrafo del presente artículo deberá prever el cumplimiento de los requisitos señalados en el Artículo 318, fracciones I, III, V y VII de las presentes disposiciones, sin que sea necesario establecer las fechas de implementación de cada una de las operaciones en éste señaladas. Asimismo, el referido plan deberá contener los siguientes aspectos:
I.     Descripción de los controles automatizados que utilizará la Institución para evitar que los comisionistas excedan los límites de operación establecidos en el Artículo 323 de las presentes disposiciones.
II.     Información cualitativa y cuantitativa respecto de las operaciones que la Institución contratará con el comisionista.
III.    Las medidas que deberá instrumentar la Institución en materia de:
a)   Control interno.
b)   Administración integral de riesgos.
c)   Prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo a que se refiere el Artículo 115 de la Ley y las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito" emitidas por la Secretaría, o las que las sustituyan.
IV.   El procedimiento que emplearía la Institución en la validación para el pago de cheques en caso de realizar operaciones de las referidas en el Artículo 319, fracción VII de estas disposiciones.
V.    Los criterios orientados a evaluar la experiencia y capacidad técnica del comisionista de conformidad con lo previsto en el Anexo 57 de las presentes disposiciones.
Una vez autorizado por la Comisión el plan estratégico a que se refiere el primer párrafo del presente artículo, las Instituciones deberán solicitar autorización a la Comisión respecto de las reformas a dicho plan que impliquen cambios a los términos en los que realizarían las operaciones con los clientes bancarios y con el público en general, o cuando se trate de cambios sustanciales en las condiciones de la contratación y obligaciones de las partes establecidas en el modelo de contrato, en particular con respecto a alguno de los aspectos a que se refieren los Artículos 318 fracción III y 324 de las presentes disposiciones; o bien, se pretenda operar con nuevos comisionistas no previstos en el plan autorizado por la Comisión, con al menos, treinta días naturales de anticipación a la fecha en que se pretenda que surtan efectos.
Artículo 321.- Cuando las Instituciones pretendan realizar una nueva operación de las señaladas en el plan estratégico que les fue autorizado de conformidad con el Artículo 320 anterior, o bien, cuando pretendan implementar una nueva tecnología para operar con comisionistas o Administradores de Comisionistas previamente autorizados, deberán sujetarse a lo siguiente:
I.     Tratándose de las operaciones a que se refieren las fracciones II, III, V, VI, VII, VIII, IX, X y XI del Artículo 319 de las presentes disposiciones, deberán solicitar autorización a la Comisión para realizar dicha operación, acompañando a su escrito de solicitud lo siguiente:
a)   Los requerimientos técnicos que señala el Anexo 59 de las presentes disposiciones, salvo que se trate de las operaciones previstas en la fracción XI del Artículo 319 del presente ordenamiento, asimismo, se deberá incluir en su caso, la descripción de la nueva tecnología y su implementación.
b)   El proyecto de contrato de comisión mercantil para operar con el comisionista, el cual contemple los aspectos a que se refieren los Artículos 318, fracción III y 324 de las presentes disposiciones, de conformidad con el plan estratégico de negocios autorizado.
II.     Tratándose de las operaciones a que se refieren las fracciones I, IV y XII del Artículo 319 de las presentes disposiciones, deberán presentar un aviso a la Comisión, debiendo manifestar en el mismo que la operación se realizará al amparo del contrato a celebrar entre la Institución y el comisionista, en los términos autorizados por la Comisión, señalando en su caso, si el contrato que pretende celebrar con el comisionista presenta alguna variación respecto del modelo de contrato, en cuyo caso deberá remitir dicho proyecto. El aviso a que se refiere esta fracción deberá enviarse a la Comisión,
pudiendo iniciar las operaciones a que se refiere esta fracción al día siguiente de presentado el aviso correspondiente, en el entendido de que la Comisión podrá en cualquier momento requerir que las operaciones no se lleven a cabo a través de algún o algunos comisionistas en particular cuando estos incumplan las presentes disposiciones. Asimismo, las Instituciones podrán incorporar en un mismo aviso todas las operaciones de las señaladas en esta fracción, que se efectuarán con un mismo comisionista.
       En la celebración de las operaciones referidas en esta fracción, las Instituciones deberán dar cumplimiento, en todo momento, a lo establecido en los Artículos 318, fracción III, 321 Bis, 322, 324 y a los Anexos 57 y 58 de las presentes disposiciones, debiendo conservar evidencia de dicho cumplimiento y mantenerla a disposición de la Comisión.
Adicionalmente, para las operaciones referidas en la fracción I y II anteriores, las Instituciones deberán presentar junto con la solicitud de autorización o aviso, según corresponda, el Formato de Certificación Interna de Comisionistas (FCIC) con información de pruebas preoperativas, debidamente llenado en función de la nueva operación que pretendan realizar. Para ello deberán descargar el formato actualizado de dicho reporte disponible en el sitio de internet de la Comisión.
Artículo 321 Bis.- Las Instituciones, a través de los comisionistas, proporcionarán la información suficiente para que sus clientes conozcan el procedimiento para presentar aclaraciones o quejas derivadas de las operaciones realizadas por medio de los citados comisionistas, por lo que deberán indicar el número telefónico y correo electrónico de la unidad especializada de atención a usuarios con que la Institución debe contar en términos de la Ley de Protección y Defensa al Usuario de Servicios Financieros y los números telefónicos correspondientes al "Centro de Atención Telefónica" de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros.
Adicionalmente, las Instituciones mantendrán plenamente identificadas en todo momento, las operaciones que realicen a través de comisionistas de manera independiente de las que realicen a través de sus demás canales de distribución.
Las Instituciones consolidarán en una base de datos administrada y controlada en todo momento por la Institución, las aclaraciones o quejas derivadas de operaciones realizadas a través de comisionistas.
Artículo 321 Bis 1.- Las Instituciones deberán proporcionar a sus clientes bancarios y al público en general, a través de su página de Internet, el listado de los módulos y establecimientos que los comisionistas tengan habilitados para realizar las operaciones referidas en el Artículo 319 de las presentes disposiciones, especificando las operaciones que se pueden realizar en cada uno de ellos y los montos máximos autorizados por operación y adicionalmente deberán proporcionar un número telefónico o indicar dentro del propio sitio de internet de manera notoria a través de qué medios podrán conocer los terceros contratados por la Institución como comisionistas.
Las Instituciones verificarán que los comisionistas informen a los clientes bancarios, a través de los recibos de las operaciones, anuncios visibles en los establecimientos, plataformas tecnológicas o por cualquier otro medio, que actúan en nombre y por cuenta de la propia institución.
Artículo 321 Bis 2.- Las Instituciones podrán facultar a personas morales, a través de un mandato o comisión, para que contraten o participen en la contratación de terceras personas que actúen como comisionistas de la Institución para que celebren con los clientes y público en general, a nombre y por cuenta de la propia Institución, las operaciones a que se refiere el Artículo 319 de las presentes disposiciones; dichas personas recibirán, para efectos de las presentes disposiciones, el nombre de Administrador de Comisionistas.
Lo anterior, en el entendido de que las Instituciones otorgarán tales facultades, con la finalidad de que el Administrador de Comisionistas organice redes de comisionistas bancarios para que las operaciones que se presten se hagan de manera uniforme, a fin de mantener un estándar de calidad alto en la realización de tales operaciones.
La contratación del Administrador de Comisionistas requerirá de la autorización de la Comisión, para lo cual deberá entregar el proyecto de contrato de mandato o comisión mercantil a celebrarse entre la Institución y el Administrador de Comisionistas, así como el proyecto de contrato con el comisionista correspondiente. Asimismo, las demás obligaciones que las disposiciones impongan a los comisionistas y que el Administrador de Comisionistas pudiera suplir y acreditar, sin que por ello pueda el Administrador de Comisionistas realizar las operaciones a que se refieren el Artículo 319 de estas disposiciones.
Adicionalmente, cuando el Administrador de Comisionistas provea el servicio de infraestructura tecnológica deberá entregar lo siguiente:
 
I.     Descripción de los servicios de infraestructura de soporte y operativa, equipos, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones que el Administrador de Comisionistas prestará a los comisionistas para la correcta realización de las operaciones.
II.     Esquemas de redundancia o mecanismos alternos en las telecomunicaciones de punto a punto que permitan contar con enlaces de comunicación que minimicen el riesgo de interrupción en el servicio de telecomunicaciones que adoptará el Administrador de Comisionistas o la Institución.
III.    Estrategia de continuidad en los servicios informáticos que proporcionen al comisionista respecto de la capacidad de procesar y operar los sistemas en caso de contingencia, fallas o interrupciones en las telecomunicaciones o de los equipos de cómputo centrales y otros que estén involucrados en el servicio de procesamiento de información de operaciones o servicios.
IV.   Mecanismos a adoptarse por el Administrador de Comisionistas o la Institución para establecer y vigilar la calidad en los servicios de información, así como los tiempos de respuesta de los sistemas y aplicaciones.
V.    Descripción de los controles automatizados que utilizará el Administrador de Comisionistas para evitar que los comisionistas excedan los límites de operación establecidos en el Artículo 323 de las presentes disposiciones, cuando tales operaciones se realicen con la infraestructura tecnológica del Administrador de Comisionistas.
VI.   Descripción de mecanismos automatizados para detectar y prevenir eventos e incidentes de seguridad de la información, así como para evitar conexiones y flujos de datos entrantes o salientes no autorizados y fuga de información, considerando entre otros, medios de almacenamiento removibles.
VII.   Informe detallado de resultados de pruebas de escaneo de vulnerabilidades de los componentes de la infraestructura tecnológica del Administrador de Comisionistas que almacenen, procesen o transmitan información de las operaciones bancarias.
       Adicionalmente, las pruebas a que se refiere el párrafo anterior deberán realizarse al menos trimestralmente y mantener los informes de resultados y evidencia de las acciones de mitigación implementadas para subsanar las vulnerabilidades de severidad críticas y altas a disposición de la Comisión.
VIII.  Informe de resultados detallado de las pruebas de penetración realizadas por un tercero independiente, cuyo personal cuente con capacidad técnica comprobable mediante certificaciones especializadas en la materia, dichas pruebas deberán contemplar la infraestructura tecnológica del Administrador de Comisionista para la comisión mercantil. Adicionalmente, estas pruebas deberán realizarse al menos una vez al año y mantener los informes de resultados y evidencia de las acciones de mitigación implementadas para subsanar las vulnerabilidades de severidad críticas y altas a disposición de la Comisión.
IX.   Planes de remediación respecto de los hallazgos de las revisiones y pruebas a que se refieren las fracciones VII y VIII anteriores, así como la evidencia de las acciones de mitigación implementadas para subsanar las vulnerabilidades de severidad críticas y altas.
Las Instituciones establecerán en los contratos que celebren con los Administradores de Comisionistas o en los contratos que celebren con los comisionistas y donde participe el Administrador de Comisionistas, según sea procedente de acuerdo con las obligaciones de cada una de las partes en el contrato, lo siguiente:
i.      La obligación del Administrador de Comisionistas de verificar y acreditar ante la Institución que los comisionistas que contrate para la realización de las operaciones previstas en el Artículo 319 anterior, cumplan con los aspectos señalados en el Artículo 318, fracciones II a VII de las presentes disposiciones, así como realizar las auditorías a que se refiere el Artículo 318 Bis 1 del presente instrumento.
ii.     Establecer que el Administrador de Comisionistas tendrá prohibido:
a)   Llevar a cabo alguna de las operaciones previstas en el Artículo 319 a nombre y por cuenta de la Institución, ni tampoco a nombre propio.
b)   Publicitarse o promocionarse de cualquier forma a través de la papelería o en el anverso de los comprobantes que proporcionen a los clientes por las operaciones que realicen a nombre de la
Institución de que se trate.
c)   Subcontratar los servicios relacionados con la comisión mercantil.
iii.    El derecho de la Institución para suspender el contrato en caso de que el Administrador de Comisionistas incumpla con las presentes disposiciones.
El Administrador de Comisionistas deberá verificar que los comisionistas que conformen su red cumplan con lo establecido en el Anexo 58 de las presentes Disposiciones.
Artículo 321 Bis 3.- Las Instituciones deberán elaborar un informe anual respecto de la evolución que guarda su plan estratégico de negocios, el cual contendrá información cualitativa y cuantitativa respecto de los resultados obtenidos en dicho periodo. Asimismo, deberá incluirse una comparación con las estimaciones presentadas en el plan estratégico remitido a la Comisión para su autorización, respecto de las operaciones que la Institución realice a través de comisionistas, así como un reporte detallado sobre las contingencias que, en su caso, se hubieren presentado respecto de la prestación de los servicios de los comisionistas a que se refiere la presente Sección Segunda de este Capítulo XI. El referido informe deberá ser entregado a la vicepresidencia de la Comisión encargada de su supervisión en el transcurso del primer trimestre de cada año.
Artículo 322.- Las Instituciones en la realización de cualquiera de las operaciones a que se refiere el Artículo 319 de las presentes disposiciones, deberán celebrar, como depositaria, un contrato de depósito con el comisionista como depositante. Al efecto, la Institución podrá otorgar al propio comisionista, una línea de crédito que permita proveer de fondos a la citada cuenta de depósito, cuando resulte necesario y de acuerdo con las políticas de la propia Institución.
En todo caso, la cuenta de depósito a la vista deberá ser cargada o abonada, en función de la naturaleza de la transacción que el comisionista celebre con el cliente bancario y con el público en general, transfiriendo en línea los recursos hacia o de la cuenta del público en general, o bien a las cuentas propias de la Institución, según sea el caso, para los efectos solicitados, salvo tratándose de las operaciones a que se refiere la fracción XI del Artículo 319 de las presentes disposiciones.
Las Instituciones deberán asegurarse que cada operación tenga correspondencia con los cargos y abonos que se efectúen a las cuentas mencionadas.
En el contrato de comisión mercantil en el que participe el Administrador de Comisionistas, las Instituciones podrán pactar que este último preste el servicio de infraestructura tecnológica necesaria, así como el soporte técnico requerido a los comisionistas con los que opere, con el único propósito de facilitar y fortalecer los procesos de soporte de las operaciones que celebren dichos comisionistas y sin que por ello pueda entenderse que el propio Administrador de Comisionistas realiza directamente operaciones con los clientes de las Instituciones. Tratándose de procesos relacionados con compensación y liquidación de recursos, los comisionistas que formen parte de la red del Administrador podrán prescindir del contrato de cuenta de depósito, caso en el cual, el Administrador de Comisionistas deberá contar con dicha cuenta de depósito y será responsable solidario de las operaciones que realicen los comisionistas que este administre.
Las Instituciones estarán exceptuadas de celebrar el contrato de depósito a que se refiere el presente artículo, siempre que obtengan autorización de la Comisión respecto del procedimiento que emplearían para la liquidación neta que corresponda a la realización de las operaciones con sus comisionistas. Dicho procedimiento deberá permitir la transferencia en línea de los recursos desde o hacia las cuentas de los clientes bancarios, según sea el caso.
Las operaciones de pago de créditos a que se refiere la fracción IV del Artículo 319 de las presentes disposiciones, podrán realizarse sin que para ello deban transferirse en línea los recursos, siempre y cuando la Institución de que se trate, a través de su comisionista, señale en el respectivo comprobante de operación, la fecha o el plazo en que quedará acreditado el pago efectuado.
Asimismo, tratándose de las operaciones a que se refiere la fracción V del Artículo 319 de estas disposiciones, cuando se realicen en efectivo a cuentas de Instituciones distintas de la comitente, esta última deberá transferir los recursos correspondientes de la misma forma en que dichas operaciones se efectúan en sus sucursales, siempre y cuando la Institución de que se trate así lo convenga con sus clientes a través de sus comisionistas y se señale en el respectivo comprobante de operación, la fecha o el plazo en que quedarán acreditadas las respectivas operaciones.
Artículo 323.- . . .
I.     . . .
II.     . . .
III.    Tratándose de las operaciones de compraventa en efectivo de dólares de los Estados Unidos de América a que se refiere la fracción XI del Artículo 319 de las presentes disposiciones, siempre que dichas transacciones sean realizadas para la adquisición de productos o servicios comercializados u ofrecidos por el comisionista, el monto de la operación bancaria no podrá exceder del equivalente a 250 dólares de los Estados Unidos de América.
       No obstante lo anterior, en caso de que el comisionista de que se trate sea un establecimiento autorizado para la exposición y venta de mercancías extranjeras y nacionales en puertos aéreos internacionales, fronterizos y marítimos de altura en términos de lo dispuesto por la fracción I del Artículo 121 de la Ley Aduanera, o bien sea un comisionista que tenga el carácter de establecimiento que preste el servicio de hospedaje, el límite de las operaciones será hasta de:
a)   Un monto acumulado en el transcurso de un mes calendario de 1,500 dólares de los Estados Unidos de América, tratándose de personas físicas de nacionalidad extranjera.
b)   Un monto en conjunto diario, de 300 dólares de los Estados Unidos de América, restringido a un acumulado en el transcurso de un mes calendario de 1,500 dólares de los Estados Unidos de América tratándose de personas físicas de nacionalidad mexicana.
       Lo previsto en esta fracción es en el entendido de que en caso de que el comisionista cambiario deba regresar pesos mexicanos o dólares de los Estados Unidos de América con motivo de la operación comercial a que se refiere el primer párrafo de esta fracción, dicha devolución no podrá ser igual o superior al equivalente a 100 dólares de los Estados Unidos de América.
       Los límites establecidos en la presente fracción serán aplicables sin perjuicio de que las Instituciones realicen operaciones con usuarios o clientes.
Las Instituciones deberán cerciorarse a través de sistemas informáticos y controles automatizados, que los comisionistas con los que contraten no excedan los límites a que se refiere este artículo. Las Instituciones deberán establecer los mecanismos necesarios para que, una vez que los límites a que se refiere el presente artículo se alcancen, los referidos comisionistas remitan a los clientes de las Instituciones y al público en general, a las oficinas bancarias de éstas para la realización de estas operaciones.
. . .
. . .
Artículo 324.- . . .
I.     . . .
II.     Los límites individuales y agregados de las operaciones señalados en el Artículo 323 del presente ordenamiento.
III.    . . .
       Las Instituciones deberán prever en los contratos de mandato o comisión mercantil que celebre con el Administrador de Comisionistas o en los contratos con comisionistas en los este participe, la obligación solidaria del Administrador de Comisionistas respecto del cumplimiento por parte de los comisionistas bancarios sujetos a su administración de lo dispuesto en el Artículo 322, cuarto párrafo de las presentes disposiciones.
IV.   . . .
V.    Las penas convencionales por los incumplimientos al contrato, incluyendo lo dispuesto por el Artículo 331 de las presentes disposiciones.
VI.   Las demás obligaciones y derechos que las partes tendrán para la ejecución de la comisión.
VII.   Establecer que el comisionista tendrá prohibido:
a)   Condicionar la realización de la operación bancaria a la adquisición de un producto o servicio, tratándose de las operaciones a que se refieren las fracciones I a X y XII del Artículo 319 de
estas disposiciones.
      No será aplicable la restricción a que se refiere este inciso, por lo que corresponde a las operaciones de compra en efectivo de dólares de los Estados Unidos de América, a que alude la fracción III, en su primer y segundo párrafos, inciso a), del Artículo 323 de estas disposiciones.
b)   Publicitarse o promocionarse de cualquier forma a través de la papelería o en el anverso de los comprobantes que proporcionen a los clientes por las operaciones que realicen a nombre de la Institución de que se trate.
c)   Realizar la operación objeto de la comisión en términos distintos a los pactados con la Institución comitente.
d)   Subcontratar los servicios relacionados con la comisión mercantil.
e)   Cobrar comisiones, por cuenta propia, a los clientes bancarios por la prestación de los servicios objeto de la comisión mercantil, o bien recibir diferenciales de precios o tasas respecto de las operaciones en que intervengan. Ello, sin perjuicio del pago de comisiones que pueda pactarse entre el cliente y la Institución o entre esta última y el comisionista.
f)    Llevar a cabo las operaciones con los clientes bancarios a nombre propio.
g)   Pactar en exclusiva con la Institución comitente, la realización de las operaciones y actividades consistentes en la recepción de pago de servicios no bancarios, así como el pago de tarjetas de crédito.
VIII.  La obligación del comisionista de sujetarse a procedimientos periódicos de vigilancia por parte de la Institución, relativos a la seguridad de la información y de los sistemas, tales que permitan evaluar la solidez de la infraestructura informática del comisionista para la celebración de las operaciones, así como su vulnerabilidad y capacidad de respuesta ante posibles ataques informáticos. Asimismo, la previsión relativa a que, el incumplimiento de lo establecido en el apartado IV del Anexo 58 de las presentes disposiciones, y en su caso, la renuencia, dilación y obstaculización de parte del comisionista, respecto del cumplimiento de dicho apartado, constituirá una causal de rescisión del contrato de comisión mercantil.
IX.   El derecho de la Institución para realizar al comisionista las revisiones de seguridad que se señalan en el Artículo 168 Bis 12, fracciones II, III y IV de las presentes disposiciones a los servicios contratados o bien, proporcionar evidencia a la Institución de la realización de estas revisiones.
X.    Tratándose de las operaciones a que se refiere la fracción XI del Artículo 319 de las presentes disposiciones, a fin de dar cumplimiento a las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito" emitidas por la Secretaría, o las que las sustituyan, la obligación del comisionista para recabar y conservar del cliente lo siguiente:
a)   Para aquellas operaciones de hasta el equivalente a 250 dólares de los Estados Unidos de América, que se realicen para la adquisición de productos o servicios comercializados u ofrecidos por el comisionista, deberán presentar la información y documentación siguiente:
1.   Apellido paterno, apellido materno y nombre(s) sin abreviaturas.
2.   Nacionalidad.
3.   Fecha de nacimiento.
      Para efectos de lo anterior, los datos relativos al nombre y fecha de nacimiento del cliente deberán ser obtenidos de una identificación oficial de las señaladas en la 4ª de las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito" emitidas por la Secretaría, o las que las sustituyan.
b)   Tratándose de establecimientos autorizados para la exposición y venta de mercancías extranjeras y nacionales en puertos aéreos internacionales, fronterizos y marítimos de altura en términos de lo dispuesto por la fracción I del Artículo 121 de la Ley Aduanera:
1.   La información y documentación siguiente:
i)    Apellido paterno, apellido materno y nombre(s) sin abreviaturas.
ii)    Nacionalidad.
iii)   Fecha de nacimiento.
 
iv)   Número de pasaporte o tarjeta pasaporte.
2.   Tipo de operación, monto y fecha de celebración.
c)   Establecimientos que presten el servicio de hospedaje:
1.   La información y documentación siguiente:
i)    Apellido paterno, apellido materno y nombre(s) sin abreviaturas.
ii)    Nacionalidad.
iii)   Fecha de nacimiento.
iv)   Copia de identificación oficial, pasaporte, tarjeta pasaporte o certificado de matrícula consular.
       Tratándose de personas físicas de nacionalidad extranjera, podrán identificarse con:
i)    Copia del pasaporte o tarjeta pasaporte que acredite su nacionalidad, y
ii)    Copia del documento oficial expedido por el Instituto Nacional de Migración, cuando cuente con este último que acredite su internación o legal estancia en el país.
d)   Tipo de operación, monto y fecha de celebración.
      Los comisionistas deberán enviar a la Institución la información relativa a las mencionadas operaciones, a fin de que la propia Institución dé cumplimiento al citado Artículo 115 de la Ley y a las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito" emitidas por la Secretaría, o las que las sustituyan, con base en la información recibida de los comisionistas.
XI.   El derecho de la Institución para suspender operaciones en caso de que los comisionistas presenten cambios en su operación en contravención a lo previsto en el contrato, o de alguna manera pongan en riesgo a la Institución, la seguridad de la información o los recursos de sus clientes.
XII.   Tratándose de las operaciones a que se refieren las fracciones IX y X del Artículo 319 de las presentes disposiciones, la obligación del comisionista para recabar del cliente la información necesaria y transmitirla en tiempo y forma a la Institución, a fin de dar cumplimiento a lo previsto en el Artículo 115 de la Ley y las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito", emitidas por la Secretaría, o las que las sustituyan.
XIII.  La obligación del comisionista de elaborar planes de remediación respecto de los hallazgos de las revisiones y pruebas de seguridad efectuadas a las que se refiere la fracción XII del presente artículo y entregarlos a la Institución.
Las Instituciones, en la realización de las operaciones a que se refiere la presente Sección Segunda del Capítulo XI, podrán contratar comisionistas que les presten de manera exclusiva sus servicios, salvo por lo señalado en el inciso g) de la fracción VII del presente artículo.
Artículo 325.- Las Instituciones no podrán celebrar los contratos de comisión mercantil a que se refiere la presente sección con las personas siguientes:
I.     Casas de bolsa, salvo que se trate de las operaciones a que se refiere la fracción IX del Artículo 319 de las presentes disposiciones.
II.     Personas cuyo objeto principal sea la realización de las actividades a que se refiere el Artículo 81-A de Ley General de Organizaciones y Actividades Auxiliares del Crédito."
"Artículo 329.- . . .
El director general de la Institución de que se trate o la persona que este designe, será responsable de presentar el aviso señalado en el Artículo 326, de estas disposiciones.
. . .
. . .
Artículo 330.- Derogado.
Artículo 331.- . . .
Tratándose de los servicios o comisiones referidos en la Sección Segunda de este Capítulo XI, las Instituciones deberán informar a la Comisión respecto de cualquier reforma al objeto social o a la organización interna del tercero o comisionista que pudiera afectar la prestación del servicio objeto de la contratación, dentro de los cinco días hábiles siguientes a la recepción de la notificación a que se refiere el Artículo 318, fracción III, inciso a), numeral 4. de las presentes disposiciones.
Artículo 332.- La Comisión, previo derecho de audiencia que se otorgue a la Institución, podrá ordenar la suspensión parcial o total, temporal o definitiva, de la prestación de los servicios o comisiones a través del tercero de que se trate, cuando a juicio de la propia Comisión, pueda verse afectada la estabilidad financiera, la seguridad de la información y de los clientes o de la institución, la continuidad operativa de esta última, o en protección de los intereses del público, o bien, cuando las Instituciones incumplan con las disposiciones contenidas en el presente Capítulo XI y las demás que resulten aplicables. Lo anterior, salvo que, al ejercer el citado derecho de audiencia, la Institución presente un programa de regularización para ser autorizado por la Comisión, la cual tendrá un plazo de treinta días naturales, contado a partir de que la Institución respectiva presente la solicitud correspondiente, a efecto de resolver lo conducente.
. . .
I.     . . .
II.     Especificar las etapas y plazos de cada una las acciones a implementar. La ejecución y cumplimiento del programa no deberá exceder de seis meses, contado a partir de su autorización. Con independencia de lo anterior, de manera excepcional, la Comisión podrá autorizar por única vez una prórroga hasta por el mismo periodo establecido en la presente fracción, cuando a su juicio, la referida prórroga se encuentre debidamente justificada y siempre que el incumplimiento a corregir no ponga en riesgo los recursos financieros o la seguridad de la información de los clientes; la estabilidad financiera u operativa de la institución, o constituya un riesgo potencial a la estabilidad del sistema financiero.
III.    . . .
Artículo 333.- Las Instituciones deberán contar con un padrón de comisionistas para la realización de las operaciones a las que se refiere el Artículo 319 de estas disposiciones, así como con un padrón de prestadores de servicios. Estos padrones deberán incluir al menos la siguiente información:
I.     Para el padrón de comisionistas:
a)   Nombre, denominación o razón social del comisionista.
b)   Nombres de los administradores del comisionista o, en su caso, del representante legal, designado por el comisionista para la atención de cualquier asunto relacionado con la comisión de que se trate.
c)   Descripción del comisionista, que especifique si se trata de una cadena comercial, franquicia o Administrador de Comisionistas, giro y nombre comercial.
d)   Número de establecimientos del comisionista o página de Internet en la que ofrezcan sus servicios.
e)   Tipo de operaciones que realiza el comisionista a nombre y por cuenta de la Institución.
f)    Los límites individuales y agregados de las operaciones, pactados con el comisionista.
g)   Medios de liquidación contratados, tales como cheques, efectivo o tarjetas de débito o crédito.
h)   Dispositivos de Acceso utilizados para ofrecer los servicios a los Clientes, tales como Teléfono Móvil, tabletas electrónicas, Terminales Punto de Venta o algún otro.
i)    Número de oficio y fecha en la que se otorgó la autorización para la contratación del comisionista o Administrador de Comisionistas.
j)    Número de oficio, en su caso, y fecha del inicio de operaciones con el comisionista o Administrador de Comisionistas.
II.     Para el padrón de prestadores de servicios:
a)   Nombre, denominación o razón social del prestador de servicios y, en su caso, de los subcontratados.
b)   Nombres de las personas designadas por el prestador de servicios o subcontratado para la atención de cualquier asunto relacionado con el contrato de que se trate.
c)   Descripción del servicio, proceso operativo o sistemas contratados con el prestador de servicios
y, en su caso con los subcontratados, incluyendo los datos o información que, en su caso, son almacenados o procesados por estos.
d)   Nombre del sistema que soporta el proceso operativo o la administración de bases de datos o sistemas informáticos, contratados con el prestador de servicios y, en su caso, con los subcontratados.
e)   Fecha del aviso o solicitud de autorización, presentado a la Comisión por la Institución y número de oficio emitido por la Comisión.
La Institución deberá actualizar los padrones a que se refieren las fracciones I y II de este artículo y mantenerlos a disposición de la Comisión.
La Institución deberá presentar a la Comisión dentro de los noventa días naturales después del cierre del ejercicio, un informe anual que detalle los resultados de las revisiones efectuadas por la Institución, conforme a los procedimientos que ésta haya desarrollado y que forman parte del Sistema de Control Interno de la Institución, para cerciorarse de que los prestadores de servicios o comisionistas, garantizaron la continuidad del servicio con niveles adecuados de desempeño, confiabilidad, capacidad, seguridad, mantenimiento, integridad y con estándares de calidad acordes a los requerimientos de sus necesidades.
Artículo 334.- Las Instituciones, en sus políticas relativas a la contratación de servicios o comisiones, deberán considerar cuando menos, los lineamientos y criterios para la selección de estos, así como las medidas de evaluación de los servicios y comisiones contratados. Dentro de las medidas de evaluación de los servicios o comisiones a que se refiere este capítulo, deberá considerarse lo siguiente:
I. a VI.   . . .
VII.   La capacidad de las Instituciones, en la Administración Integral de Riesgos para identificar, medir, vigilar, limitar, controlar, informar y revelar los riesgos que puedan derivarse de la prestación de los servicios o comisiones a que se refiere este Capítulo XI.
VIII.  . . .
IX.   Los resultados de las pruebas de escaneo de vulnerabilidades y pruebas de penetración a las que se refiere el Artículo 168 bis 12, fracciones III y IV de las presentes disposiciones.
. . .
. . .
. . .
Artículo 335.- Derogado."
TRANSITORIOS
PRIMERO. La presente Resolución entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.
SEGUNDO. Las Instituciones contarán con un plazo de 180 días contados a partir de la entrada en vigor del presente instrumento legal para apegarse a lo establecido en el Anexo 58, fracción IV de las presentes disposiciones.
Atentamente
Ciudad de México, a 13 de septiembre de 2021.- Presidente de la Comisión Nacional Bancaria y de Valores, Juan Pablo Graf Noriega.- Rúbrica.
ANEXO 52
LINEAMIENTOS MINIMOS DE OPERACIÓN Y SEGURIDAD PARA LA CONTRATACIÓN DE
SERVICIOS DE APOYO TECNOLÓGICO
Las Instituciones deberán considerar los aspectos siguientes:
I.     Aspectos en materia de operación
a.   Esquemas de redundancia o mecanismos alternos en las telecomunicaciones de punto a punto que permitan contar con enlaces de comunicación que minimicen el riesgo de interrupción en el servicio de telecomunicaciones.
b.   Estrategia de continuidad en los servicios informáticos que proporcionen a la Institución la
capacidad de procesar y operar los sistemas en caso de contingencia, fallas o interrupciones en las telecomunicaciones o de los equipos de cómputo centrales y otros que estén involucrados en el servicio de procesamiento de información de operaciones o servicios.
c.    Mecanismos para establecer y vigilar la calidad en los servicios de información, así como los tiempos de respuesta de los sistemas y aplicaciones.
d.   Esquema de soporte técnico, a fin de solucionar problemas e incidencias, con independencia, en su caso, de las diferencias en husos horarios y días hábiles.
e.   Mecanismos que permitirán a la Institución mantener bajo su resguardo, ya sea en Infraestructura Tecnológica propia o de terceros, en ambos casos en territorio nacional, los registros detallados de todas las Operaciones que se realicen, así como de sus registros contables de forma que se asegure la continuidad operativa en todo momento. Dichos registros deberán mantenerse en un formato que permita su consulta, operación y uso por parte de la Comisión en todo momento.
II.     Aspectos en materia de seguridad
a.   Medidas para asegurar la transmisión de la Información Sensible del Usuario en forma cifrada punto a punto y elementos o controles de seguridad en cada uno de los nodos involucrados en el envío y recepción de datos.
b.   Establecimiento de funciones del oficial en jefe de seguridad de la información de conformidad con lo establecido en los Artículos 168 Bis 13 y 168 Bis 14 de las disposiciones. Para efectos del presente anexo, el oficial de seguridad deberá contar en todo momento con los registros de todo el personal que tenga acceso a la información relacionada con las operaciones de la Institución, incluso de aquél ubicado fuera del territorio nacional, en cuyo caso el personal autorizado para acceder a dicha información deberá ser autorizado por el responsable de las funciones de contraloría interna de la Institución, de conformidad con lo señalado en el Artículo 167 de las presentes disposiciones.
c.    Esquema mediante el cual se mantendrá, en una oficina de la institución de crédito contratante, la bitácora de acceso a la información por el personal debidamente autorizado.
III.    Auditoría y Supervisión
a.   Políticas y procedimientos relativos a la realización de auditorías internas o externas sobre la infraestructura, controles y operación del centro de cómputo del tercero, relacionado con el ambiente de producción para la institución de crédito, al menos una vez cada dos años con el fin de evaluar el cumplimiento de lo mencionado en el presente anexo.
b.   Mecanismos de acceso al ambiente tecnológico, incluyendo información, bases de datos y configuraciones de seguridad, desde las instalaciones de la Institución en territorio nacional.
ANEXO 57
CRITERIOS PARA EVALUAR LA EXPERIENCIA Y CAPACIDAD TÉCNICA DE LOS COMISIONISTAS QUE
OPEREN AL AMPARO DE LA SECCIÓN SEGUNDA DEL CAPÍTULO XI DEL TÍTULO QUINTO DE LAS
DISPOSICIONES
Se presumirá que los comisionistas cuentan con capacidad técnica suficiente cuando manifiesten bajo protesta de decir verdad que cumplen lo siguiente:
1.     Su personal se encuentre capacitado para operar adecuadamente los Medios Electrónicos que la Institución ponga a su disposición para autenticar a los clientes bancarios.
2.     Contar con la infraestructura necesaria para llevar a cabo el procesamiento de las operaciones objeto del servicio bancario.
3.     Sean personas morales o personas físicas con actividad empresarial y cuenten con establecimiento permanente, entendido éste como cualquier lugar de negocios en el que se desarrollen, parcial o totalmente, actividades empresariales o se presten servicios personales independientes, tales como oficinas, sucursales, agencias, u otras instalaciones
4.     Tener un giro de negocio propio.
5.     Contar con honorabilidad e historial crediticio y de negocios satisfactorio; al efecto, se considerará que cumplen con este requisito los comisionistas que:
a)   Gocen de buen historial crediticio de acuerdo con los Reportes de Información Crediticia y se encuentren al corriente en el cumplimiento de sus obligaciones crediticias.
b)   Por sí o a través de interpósitas personas, no hayan causado quebranto, menoscabo o
detrimento patrimonial alguno, en perjuicio de instituciones de crédito o de sociedades emisoras en el mercado de valores.
c)   No hayan sido declarados en concurso civil o mercantil.
d)   En su caso, no hayan sido condenados por sentencia irrevocable por delito doloso que le imponga pena por más de un año de prisión.
e)   En su caso, no hayan sido condenados por sentencia irrevocable por delitos patrimoniales cometidos dolosamente cualquiera que haya sido la pena.
f)    En su caso, no hayan estado sujetos a procedimientos de averiguación o investigación de carácter administrativo ante la Comisión por infracciones graves a las leyes financieras nacionales o extranjeras, o ante otras instituciones supervisoras y reguladoras mexicanas del sistema financiero o de otros países, las cuales hayan tenido como conclusión cualquier tipo de resolución firme y definitiva o convenio en el que no se hubiere determinado expresamente la exoneración del interesado.
Tratándose de Entidades de la Administración Pública Federal, Estatal o Municipal, bastará con que cumplan con lo dispuesto en los numerales 1 y 2 de este Anexo y se encuentren facultadas expresamente por su ley o reglamento, para prestar los servicios o comisiones de que se trate.
Las Instituciones podrán eximir del cumplimiento de los requisitos señalados en los numerales 3, y 5, inciso a) del presente anexo, tratándose de comisionistas administrados por un Administrador de Comisionistas, bastando para ello que el citado Administrador de Comisionistas dé cumplimiento a todos los requisitos previstos por el presente anexo.
ANEXO 58
REQUERIMIENTOS TÉCNICOS PARA LA OPERACIÓN DE MEDIOS ELECTRÓNICOS PARA LAS
OPERACIONES CONTEMPLADAS EN LA SECCIÓN SEGUNDA DEL CAPÍTULO XI DEL TÍTULO QUINTO
DE LAS DISPOSICIONES
Los Medios Electrónicos que utilicen las Instituciones para garantizar la correcta ejecución de las operaciones bancarias que se realicen a través de comisionistas y de seguridad de la información de los clientes bancarios y del público en general, deberán cumplir con los requerimientos a que se refiere el presente anexo.
La Institución deberá contar con la evidencia de la verificación de cumplimiento realizada previo al inicio de operaciones y al menos una vez al año, de los siguientes aspectos y tenerla a disposición de la Comisión cuando esta así la requiera.
Tratándose de Administradores de Comisionistas, estos deberán verificar que los comisionistas que conformen su red cumplan con lo establecido en el presente Anexo.
Para efectos del presente Anexo se entenderá como "Operador" al empleado del comisionista que tenga acceso a los Medios Electrónicos.
I.     Requerimientos de los Medios Electrónicos
1.   Mecanismos necesarios para realizar las transacciones en línea.
      Los Medios Electrónicos deberán contar con los mecanismos necesarios para realizar las transacciones en línea, es decir, al instante mismo en que se lleve a cabo la operación, actualizando los saldos del cliente en línea salvo tratándose de las operaciones referidas en las fracciones I, IV y XII el Artículo 319 de las presentes disposiciones, donde podrán realizar la actualización de saldos en apego a lo establecido por las reglas de operación de las propias Instituciones.
      Para tales efectos, las operaciones de pago de servicios en efectivo o con tarjeta de débito, o con cargo a Cuentas Bancarias, depósito de efectivo, pago de créditos en efectivo y situación de fondos; deberán registrarse como un cargo a la cuenta de depósito que el comisionista tenga con la Institución. Por su parte, las operaciones de retiro de efectivo y pago de cheques deberán registrarse como un abono a la misma cuenta.
      En los casos en que la información del saldo del cliente se almacene en dispositivos tales como tarjetas con circuito integrado o equipos ubicados en las instalaciones de los comisionistas, no se considerará como afectación en línea la realizada en tales dispositivos, siempre y cuando existan mecanismos para su consolidación periódica en los sistemas centrales de las Instituciones.
      Tratándose de las operaciones referidas en las fracciones I y IV del Artículo 319 de las presentes disposiciones y en caso de que el procesamiento se realice a través del esquema batch,
deberán mantener controles implementados para el envío seguro de los archivos, así como para la conciliación y liquidación de las operaciones que se realicen a través de este medio.
2.   Validación de Medios Electrónicos del comisionista.
      Únicamente los Medios Electrónicos de los comisionistas autorizados por la Institución tendrán acceso a la infraestructura dispuesta por aquélla (uso de líneas dedicadas, identificación de direcciones físicas o lógicas, VPNs, firmas digitales, entre otros).
      Los sistemas informáticos de la Institución deberán autenticar a los Medios Electrónicos que los comisionistas utilicen para realizar operaciones bancarias.
3.   Certificación de Medios Electrónicos del comisionista.
      La Institución será responsable de certificar la instalación y el uso de los Medios Electrónicos que el comisionista mantenga para la realización de las operaciones bancarias, así como de establecer evaluaciones anuales de dichos Medios Electrónicos. Dicha certificación podrá realizarla la Institución, en su caso, a través de sus áreas técnicas especializadas en seguridad de la información o auditoría interna de sistemas, o bien, a través de terceros independientes, contratados por la propia Institución, quienes deberán acreditar ante la misma, que cuentan con credenciales técnicas adecuadas en materia de auditoría informática o de sistemas.
      La certificación antes mencionada, deberá considerar al menos que la Institución deberá cerciorarse en todo momento que los medios electrónicos utilizados por los comisionistas mantienen mecanismos de control que eviten la lectura y extracción de la información de los clientes por terceros no autorizados.
4.   Políticas y procedimientos para la administración de accesos y configuración de Medios Electrónicos.
      Es responsabilidad de la Institución verificar que el comisionista cuente con políticas y procedimientos para:
a)   La configuración de la Infraestructura Tecnológica que se conecte a los sistemas informáticos de la Institución.
b)   La administración de llaves criptográficas utilizadas entre los comisionistas y los sistemas de la Institución.
5.   Generación de registros electrónicos de operaciones.
      Todas las operaciones realizadas a través de los comisionistas deberán generar registros electrónicos que no puedan ser modificados o borrados y en los que se deberá incluir al menos la fecha, hora y minuto, el tipo y monto de la instrucción, el número de cuenta del cliente bancario, ubicación física de la ventanilla o medio a través del cual se ejecutó la instrucción, así como la información suficiente que permita la identificación del personal que realizó la instrucción. La custodia de dichos registros deberá estar a cargo de la Institución.
II.     Requerimientos de Identificación de Operadores y Autenticación clientes bancarios.
1.   Mecanismos necesarios para la plena identificación de los Operadores que se conectarán a través de los comisionistas.
2.   Generación y entrega de Contraseñas o Claves de Acceso de los Operadores.
      Las Instituciones deberán establecer mecanismos para el proceso de generación y entrega de los Factores de Autenticación que aseguren que sólo el comisionista, y en su caso, los Operadores podrán conocer.
3.   Composición de Contraseñas o Claves de Acceso de los Operadores.
      Deberán establecerse criterios para las características de la longitud de las Contraseñas o Claves de Acceso de los Operadores.
4.   Protección de Contraseñas o Claves de Acceso y Números de Identificación Personal (NIP).
      Las Instituciones deberán proveer lo necesario para evitar la lectura de los caracteres que componen las Contraseñas o Claves de Acceso, así como los Números de Identificación Personal (NIP) digitados por los clientes bancarios, respectivamente, en los Medios Electrónicos de acceso, tanto en su captura como en su despliegue a través de la pantalla.
      Las Contraseñas o Claves de Acceso y los Números de Identificación Personal (NIP) deberán validarse y almacenarse a través de mecanismos de cifrado, cuyas llaves criptográficas deberán estar bajo administración y control de la Institución de que se trate. En ningún momento, los comisionistas podrán tener acceso a los datos o algoritmos relacionados con dichas Contraseñas o Claves de Acceso y Números de Identificación Personal (NIP).
 
      Los comisionistas deberán de contar con certificaciones de normas de seguridad de la industria de tarjetas de los requisitos de seguridad y transacciones con NIP (PTS) o sus equivalentes o aquellos que, a criterio de la Comisión, permitan la debida protección de la información almacenada, transmitida o procesada relacionada con el ingreso de los Números de Identificación Personal (NIP) de los clientes bancarios y los datos de las tarjetas bancarias.
5.   Autenticación para clientes bancarios.
      Para la realización a través de los comisionistas de consultas y operaciones que representen un cargo a la cuenta de los clientes bancarios, éstos últimos deberán autenticarse a través de los Medios Electrónicos con los que se realicen las mencionadas operaciones utilizando dos Factores de Autenticación diferentes.
      Para efectos de lo anterior, las Instituciones podrán optar por la combinación de al menos dos de los siguientes Factores de Autenticación y ajustarse a lo dispuesto en el Capítulo X del Título Quinto de las presentes Disposiciones:
a)   Tarjetas de débito o crédito con mecanismos de seguridad tales como tarjetas con banda magnética y/o circuito integrado o "chip".
b)   Número de Identificación Personal (NIP).
      En el caso de que se utilicen tarjetas de débito o crédito, se deberá hacer uso de lectoras de tarjetas, tales como PIN PADS, para la Autenticación de clientes bancarios, que cuenten con una pantalla y un teclado exclusivamente diseñado para que el cliente bancario pueda ingresar la información de su respectiva tarjeta y su Número de Identificación Personal (NIP), así como con mecanismos que eviten su lectura por parte de terceros.
      Los comisionistas deberán de contar con certificaciones de normas de seguridad de la industria de tarjetas de los requisitos de seguridad y transacciones con NIP (PTS) o sus equivalentes o aquellos que, a criterio de la Comisión, permitan la debida protección de la información almacenada, transmitida o procesada relacionada con el ingreso de los Números de Identificación Personal (NIP) de los clientes bancarios y los datos de las tarjetas bancarias.
      En el caso de utilizar teléfono celular, el Número de Identificación Personal (NIP) deberá ser ingresado directamente en el teclado de dicho teléfono. En ningún caso la información del NIP podrá ser almacenada en el teléfono celular sin mecanismos de cifrado.
c)   Factor Biométrico.
En caso de utilizar lectores biométricos para la Autenticación de los clientes bancarios, dichos lectores deberán tener mecanismos que aseguren que es el cliente autorizado el que realiza la operación, así como implementar mecanismos o procedimientos para que el comisionista no almacene la información procesada relacionada con los factores biométricos de los clientes.
Toda la administración y control de la información biométrica deberá ser responsabilidad única de la Institución a través de los canales de atención al cliente que tienen establecidos.
d)   Teléfono celular.
En caso de utilizar teléfonos celulares para la Autenticación de los clientes bancarios, las Instituciones deberán verificar que la tecnología de dichos teléfonos celulares les permita funcionar como Factor de Autenticación y que cuenta con mecanismos de seguridad que eviten su duplicación o suplantación.
       Las Instituciones no podrán utilizar la combinación de los Factores de Autenticación a que se refieren los incisos a) y d) para autenticar a sus clientes.
6.   Autenticación para Operadores.
      Para la recepción y operación de transacciones solicitadas por los clientes bancarios a través de los Medios Electrónicos de los comisionistas, los Operadores deberán iniciar una sesión y autenticarse a través de dichos Medios.
      Los procesos de autenticación deberán ser validados por la Institución, a través de los mecanismos y controles que esta estime convenientes. Será responsabilidad de la Institución asegurarse de que los comisionistas cuenten con dichos mecanismos de autenticación de operadores, para la realización de las operaciones.
7.   Bloqueo de los Factores de Autenticación de los Operadores.
 
      Se deberán establecer esquemas de bloqueo de los Factores de Autenticación de los Operadores cuando se intente ingresar a los Medios Electrónicos de forma incorrecta. En ningún caso los intentos de acceso fallidos podrán exceder de cinco ocasiones consecutivas sin que se genere el bloqueo automático.
8.   Acceso a datos del cliente bancario.
      En ningún caso los Medios Electrónicos utilizados por los comisionistas podrán permitir la realización de operaciones o consulta de saldos sin la previa Autenticación en términos del numeral 5 del apartado II "Requerimientos de Identificación de Operadores y Autenticación clientes bancarios" del presente anexo, del cliente correspondiente. Quedarán exceptuadas para este caso las operaciones de depósito y pagos.
      Asimismo, tratándose de operaciones bancarias que requieran que el comisionista acceda a los saldos de las cuentas de los clientes bancarios, dicho comisionista deberá, en todo momento, guardar confidencialidad respecto de dicha operación y realizar previamente al acceso respectivo, la Autenticación referida en el numeral 1 del apartado III "Operaciones de Medios Electrónicos" del presente anexo.
III.    Operación de Medios Electrónicos
1.   Validación de estructura de cuenta destino.
      Los Medios Electrónicos de los comisionistas deberán validar, con base en la información disponible para la Institución, la estructura del número de la cuenta destino o del contrato, sea que se trate de cuentas para depósito, pago de servicios, Clave Bancaria Estandarizada, tarjetas de crédito u otros medios de pago.
2.   Generación de comprobantes de operación.
      Los Medios Electrónicos deberán generar automáticamente los comprobantes de operación que emitan las Instituciones para cada operación, sin mediar intervención alguna por parte del personal del comisionista. Dichos comprobantes de operación serán diferentes a aquéllos que utilicen los comisionistas para registrar las operaciones propias de su giro comercial y deberán incluir lo dispuesto por las Disposiciones de carácter general de la CONDUSEF en materia de transparencia y sanas prácticas aplicables a las instituciones de crédito. En adición a las referidas disposiciones, las Instituciones deberán considerar en los comprobantes de operación lo siguiente:
a)   Los datos que permitan al cliente bancario identificar la cuenta respecto de la cual se efectuó la operación. En ningún momento se deberá mostrar en los comprobantes el número completo de la cuenta.
b)   La información de las consultas de saldos, cuando el cliente así lo haya solicitado y autorizado, en cuyo caso deberá ser proporcionada únicamente al cliente a través del comprobante correspondiente. El comisionista no podrá emitir un duplicado de dicho comprobante o mantener copia de este.
c)   La identificación de la Institución y del comisionista con el que se efectuó la operación, precisando en este último caso, el domicilio del establecimiento a través del cual se ejecutó la instrucción.
d)   La información que permita la identificación del personal del comisionista que realizó la instrucción.
      Cuando se rebasen los límites a que se refiere el Artículo 323 de las presentes disposiciones, según corresponda, no se podrán llevar a cabo las operaciones solicitadas, por lo que los Medios Electrónicos deberán generar comprobantes que indiquen al cliente bancario, dicha situación. Para tales efectos, se deberá proporcionar un comprobante que incluya las leyendas siguientes:
a)   En el caso del límite a que se refiere el Artículo 323, fracción II, inciso b) de las presentes Disposiciones: "Transacción no realizada por haber excedido su límite permitido. Acuda a una sucursal bancaria."
b)   En el caso de los límites a que se refiere el Artículo 323, fracciones I y II, inciso a) de las presentes Disposiciones, según corresponda: "Transacción no realizada". Por ningún motivo deberá mostrarse en el comprobante de operación el domicilio del cliente.
      Las Instituciones pondrán a disposición de sus clientes en los comprobantes de operación la información relativa al número telefónico y correo electrónico de la unidad especializada de atención a usuarios con que la Institución debe contar en términos de la Ley de Protección y
Defensa al Usuario de Servicios Financieros, así como del centro de atención de la Institución.
      Todos los comprobantes de operaciones que se celebren a través de comisionistas tendrán valor probatorio para fines de cualquier aclaración y deberán ser reconocidos en esos términos por parte de las Instituciones que los emitan.
3.   Monitoreo de operaciones.
      La Institución deberá establecer mecanismos continuos mediante herramientas informáticas que le permitan monitorear las actividades realizadas por los Operadores a través de los Medios Electrónicos de los comisionistas con el fin de detectar transacciones que se alejen de los parámetros habituales de operación.
4.   Almacenamiento de Información Sensible del Usuario bancario en Medios Electrónicos de los comisionistas.
      En los casos que por razones operativas y técnicas se requiera almacenar parcial o totalmente Información Sensible del Usuario de la Institución en los Medios Electrónicos del comisionista, la institución deberá verificar que existan mecanismos de cifrado. Asimismo, los comisionistas no podrán emitir un duplicado de los comprobantes de consultas de saldos o mantener copias de estos.
IV.   Seguridad de la Información
1.   Segregación lógica, o lógica y física de las diferentes redes en distintos dominios y subredes, dependiendo de la función que desarrollen o el tipo de datos que se transmitan, incluyendo segregación de los ambientes productivos de los de desarrollo y pruebas, así como componentes de seguridad perimetral y de redes que aseguren que solamente el tráfico autorizado es permitido. En particular, en aquellos segmentos con enlaces al exterior, tales como Internet, proveedores, autoridades, otras redes de la Institución o matriz, Administradores, comisionistas y otros terceros, considerar zonas seguras, incluyendo las denominadas zonas desmilitarizadas (DMZ por sus siglas en inglés).
2.   Configuración segura de componentes, considerando al menos, puertos y servicios, permisos otorgados bajo el principio de mínimo privilegio, uso de medios extraíbles de almacenamiento, listas de acceso, actualizaciones del fabricante y reconfiguración de parámetros de fábrica.
3.   Medidas de seguridad para su protección, así como para el acceso y uso de la información que sea recibida, generada, transmitida, almacenada y procesada en la infraestructura tecnológica, contando al menos con lo siguiente:
a)   Mecanismos de identificación y autenticación de todos y cada uno de los usuarios de la infraestructura tecnológica, que permitan reconocerlos de forma inequívoca y aseguren el acceso únicamente a las personas autorizadas expresamente para ello, bajo el principio de mínimo privilegio. Para lo anterior, se deberán incluir controles pertinentes para aquellos usuarios de la infraestructura tecnológica con mayores privilegios, derivados de sus funciones, tales como, la de administración de bases de datos y de sistemas operativos.
b)   Cifrado de la información conforme al grado de sensibilidad o clasificación que la Institución determine y establezca en sus políticas, cuando dicha información sea transmitida, intercambiada y comunicada entre componentes, o almacenada en la infraestructura tecnológica o se acceda de forma remota.
c)   Claves de acceso con características de composición que eviten accesos no autorizados, considerando procesos que aseguren que solo el usuario de la Infraestructura Tecnológica sea quien las conozca, así como medidas de seguridad, cifrado en su almacenamiento y mecanismos para cambiar las claves de acceso cada 90 días o menos.
d)   Controles para terminar automáticamente sesiones no atendidas, así como para evitar sesiones simultáneas no permitidas con un mismo identificador de usuario de la infraestructura tecnológica.
e)   Mecanismos de seguridad, tanto de acceso físico, como de controles ambientales y de energía eléctrica, que protejan la infraestructura tecnológica y permitan la operación conforme a las especificaciones del proveedor, fabricante o desarrollador.
f)    Medidas de validación para garantizar la autenticidad de las transacciones ejecutadas por los diferentes componentes de la infraestructura tecnológica, considerando, al menos lo siguiente:
i.    La veracidad e integridad de la información.
ii.    La autenticación entre componentes de la infraestructura tecnológica, que aseguren que se ejecutan solo las solicitudes de servicio legítimas desde su origen y hasta su
ejecución y registro.
iii.   Los protocolos de mensajería, comunicaciones y cifrado, los cuales deben procurar la integridad y confidencialidad de la información.
iv.   La identificación de transacciones atípicas, previendo que las aplicaciones cuenten con medidas de alerta automática para su atención de las áreas operativas correspondientes.
g)   La actualización y mantenimiento de certificados digitales y componentes proporcionados por proveedores de servicios que estén integrados al proceso de ejecución de transacciones.
4.   Mecanismos automatizados para detectar y prevenir eventos e incidentes de seguridad de la información, así como para evitar conexiones y flujos de datos entrantes o salientes no autorizados y fuga de información, considerando entre otros, medios de almacenamiento removibles.
5.   Políticas y procedimientos de administración de llaves de cifrado utilizadas por la Institución y el comisionista, en su caso.
6.   Políticas y procedimientos de borrado seguro para la destrucción de los datos cuando dejan de ser necesarios, o en la conclusión de la comisión mercantil.
7.   Políticas y procedimientos para la gestión de incidentes de seguridad de la información de los comisionistas que aseguren la detección, clasificación, atención y contención, investigación y, en su caso, análisis forense digital, diagnóstico, reporte a niveles jerárquicos competentes, solución, seguimiento y comunicación inmediata a la Institución y contrapartes de dichos incidentes.
8.   Registro en bases de datos, de los incidentes, fallas o vulnerabilidades detectadas en la Infraestructura Tecnológica del comisionista, que incluya al menos la información relacionada con la detección de fallas, errores operativos, intentos de ataques informáticos y de aquellos efectivamente llevados a cabo así como de pérdida, extracción, alteración, extravío o uso indebido de información de los Usuarios de la Infraestructura Tecnológica del comisionista, en donde se contemple la fecha del suceso y una breve descripción de este, su duración, servicio o canal afectado, montos, así como las medidas correctivas implementadas.
      Asimismo, mantener registros de auditoría íntegros que incluyan la información detallada de los accesos o intentos de acceso y la operación o actividad efectuadas por los Usuarios de la Infraestructura Tecnológica. Dichos registros deberán estar a disposición del personal autorizado de la Institución.
9.   Realización de pruebas de escaneo de vulnerabilidades de los componentes de la infraestructura tecnológica de los comisionistas que almacenen, procesen o transmitan información de las operaciones bancarias. Dichas pruebas deberán realizarse al menos trimestralmente.
10.  Realización de pruebas de penetración por un tercero independiente, cuyo personal cuente con capacidad técnica comprobable mediante certificaciones especializadas en la materia, dichas pruebas deberán contemplar la infraestructura tecnológica del comisionista para la comisión mercantil. Las pruebas deberán considerar, al menos lo siguiente:
a)   Su alcance y metodología.
b)   Ser realizadas al menos una vez al año.
c)   Se deberán efectuar pruebas adicionales, cuando existan cambios significativos en los sistemas y aplicativos, o realizarlas sobre sistemas y aplicativos previamente revisados cuando existan vulnerabilidades críticas.
11.  Seguimiento continuo a los planes de remediación respecto de los hallazgos de las revisiones y pruebas a que se refieren los numerales 9 y 10 anteriores. Dichos planes deberán ser revisados por la institución y dar seguimiento de las acciones implementadas para su mitigación.
12.  Contar con controles de acceso a la información de acuerdo con los niveles de acceso y perfiles determinados por la Institución.
V.    Requerimientos para la operación a que se refiere la fracción IX del Artículo 319 de las presentes disposiciones
1.   Que los sistemas de la Institución, así como, en su caso, los de las casas de bolsa con las que pretendan celebrar comisiones mercantiles, cuenten con los requerimientos técnicos necesarios que les permitan dar cumplimiento con lo dispuesto en el Artículo 124 de la Ley, así como para recibir y transmitir la información a que se refieren las "Reglas de carácter general a las que deberán sujetarse las instituciones de banca múltiple para clasificar la información relativa a operaciones activas y pasivas a que se refiere el Artículo 124 de la Ley de Instituciones de Crédito", y a las emitidas por el IPAB, o las que las sustituyan, incluyendo lo señalado en el
numeral 3 siguiente.
2.   Los procedimientos a través de los cuales la Institución autorizará a las casas de bolsa para realizar tales operaciones.
3.   La obligación de la casa de bolsa comisionista para:
a)   Recabar del cliente la información necesaria a fin de dar cumplimiento a lo previsto en el Artículo 115 de la Ley y las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito" emitidas por la Secretaría, o las que las sustituyan.
      Para ello, las casas de bolsa deberán transmitir en tiempo y forma a la Institución la información relativa a las mencionadas operaciones, a fin de que la propia Institución dé cumplimiento al citado Artículo 115 de la Ley y las "Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito" emitidas por la Secretaría, o las que las sustituyan.
b)   Tratándose de operaciones celebradas con instituciones de banca múltiple comitentes:
i.    Recabar y clasificar en sistemas automatizados de procesamiento y conservación de datos, así como en cualesquier otro procedimiento técnico, toda la información que le permita a la institución de banca múltiple dar cumplimiento a la Tercera de las "Reglas de carácter general a las que deberán sujetarse las instituciones de banca múltiple para clasificar la información relativa a operaciones activas y pasivas a que se refiere el Artículo 124 de la Ley de Instituciones de Crédito" emitidas por el IPAB o las que las sustituyan;
ii.    Transmitir a la institución de banca múltiple comitente, simultáneamente al momento de la celebración de cada operación, a través de sus sistemas, la información que de conformidad con las Reglas referidas en el numeral anterior, esta última deba mantener. Lo anterior, sin perjuicio de que los contratos a que se refiere el presente artículo deberán contener la obligación a cargo de las casas de bolsa que actúen como comisionistas, de transmitir a las instituciones de banca múltiple comitentes, toda la información referida en la Tercera de las Reglas mencionadas en el numeral i. anterior, cuando así les sea requerido por la Comisión, directamente o a petición del IPAB, siempre que se actualicen los supuestos correspondientes a la resolución de la institución de banca múltiple comitente en términos del Artículo 122 Bis de la Ley;
iii.   Obtener del cliente al momento de celebrar las operaciones, una manifestación por escrito o por cualquier medio que se pacte con el cliente bancario, en los términos del formato contenido como Anexo 60 de las presentes disposiciones, y
iv.   Entregar al cliente, en el reverso del documento a que se refiere el numeral iii. anterior, o por cualquier medio que se pacte con el cliente bancario, un texto informativo en los términos establecidos en el Anexo 61 de las presentes disposiciones.
c)   Los términos bajo los cuales deberá efectuarse la liquidación de las operaciones.
      En caso de que la liquidación de las operaciones respectivas se lleve a cabo en las oficinas de las casas de bolsa, entregar al cliente el importe respectivo en la forma en que se pacte al momento de la contratación. En todo caso, si el cliente no solicita a la oficina la referida liquidación en un plazo de tres días hábiles contados a partir de la fecha de vencimiento de la operación, la casa de bolsa quedará liberada de la obligación de realizar el pago correspondiente a favor del cliente, por lo que la liquidación deberá efectuarse directamente con la Institución.
4.   La obligación por parte de la Institución de proveer los medios necesarios a fin de dar cumplimiento a las disposiciones a que se refieren los numerales 1 y 2 anteriores y, en general, a lo establecido por las disposiciones relativas al sistema de protección al ahorro bancario, así como de asegurarse de que el comisionista efectivamente cumple lo anterior.
Anexo 59
Información que deberá presentarse en la solicitud de autorización del comisionista
La información para presentarse en la solicitud de autorización del comisionista deberá contener al menos lo siguiente:
1.     Descripción detallada y diagrama de flujo de los procesos de cada una de las operaciones a realizar a través de los comisionistas considerando el proceso de conciliación y liquidación de cada una de ellas, los terceros involucrados y la Infraestructura Tecnológica a utilizar en la operación de que se trate.
 
2.     Diagrama de arquitectura y telecomunicaciones en el que se muestren los componentes de seguridad y de redes de la infraestructura tecnológica utilizada para la operación con comisionistas, que aseguren que solamente el tráfico autorizado es el permitido. Dicho diagrama deberá incluir a cada uno de los participantes, así como todos los sitios de procesamiento de información incluyendo los esquemas de redundancia, tipos de enlace y rutas de respaldo, servidores y dispositivos de comunicación.
3.     Las ubicaciones completas y detalladas de los centros de datos principal y de respaldo, tanto de la Institución, del comisionista o del proveedor de la infraestructura tecnológica del comisionista en donde será almacenada y/o procesada la información de las transacciones realizadas a través del comisionista (calle, número exterior e interior, colonia, alcaldía o municipio, estado y país).
4.     Diagrama de interrelación de aplicaciones o sistemas del comisionista, incluyendo los sistemas propios de la Institución. (Deberá Incluir a todos los participantes involucrados en la operación (p.e.: comisionista, switches, procesadores de medios de pago, terceros y la propia Institución).
5.     Detalle de la Información Sensible que será almacenada por el comisionista en sus equipos o instalaciones, o del proveedor de la infraestructura tecnológica del comisionista, o a la que podrán tener acceso. Tratándose de Información Sensible, el comisionista o deberá implementar mecanismos de almacenamiento cifrado.
6.     Incluir las características de los comprobantes de operación, adjuntar el diseño de comprobante de cada una de las operaciones a contratar.
7.     Descripción de las medidas de validación para garantizar la autenticidad de las transacciones ejecutadas por los diferentes componentes de la infraestructura tecnológica, considerando, al menos lo siguiente:
a)   La veracidad e integridad de la información.
b)   La autenticación entre componentes de la infraestructura tecnológica, que aseguren que se ejecutan solo las solicitudes de servicio legítimas desde su origen y hasta su ejecución y registro.
c)   Los protocolos de mensajería, comunicaciones y cifrado, los cuales deben procurar la integridad y confidencialidad de la información.
d)   La identificación de transacciones atípicas, previendo que las aplicaciones cuenten con medidas de alerta automática para su atención de las áreas operativas correspondientes.
8.     Descripción de mecanismos automatizados para detectar y prevenir eventos e incidentes de seguridad de la información, así como para evitar conexiones y flujos de datos entrantes o salientes no autorizados y fuga de información, considerando entre otros, medios de almacenamiento removibles.
9.     Informe detallado de resultados de pruebas de escaneo de vulnerabilidades de los componentes de la infraestructura tecnológica de los comisionistas que almacenen, procesen o transmitan información de las operaciones bancarias.
10.   Informe de resultados detallado de las pruebas de penetración realizadas por un tercero independiente, cuyo personal cuente con capacidad técnica comprobable mediante certificaciones especializadas en la materia, dichas pruebas deberán contemplar la infraestructura tecnológica del comisionista para la comisión mercantil.
11.   Planes de remediación respecto de los hallazgos de las revisiones y pruebas a que se refieren los numerales 9 y 10 anteriores, así como la evidencia de las acciones de mitigación implementadas para subsanar las vulnerabilidades de severidad críticas y altas.
12.   Documentación de los Formatos de Certificación Interna de Comisionistas (FCIC) relativa a las pruebas preoperativas de las operaciones a los comisionistas.
______________________
 

En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
 


CONSULTA POR FECHA
Do Lu Ma Mi Ju Vi
crear usuario Crear Usuario
busqueda avanzada Búsqueda Avanzada
novedades Novedades
top notas Top Notas
quejas y sugerencias Quejas y Sugerencias
copia Obtener Copia del DOF
versif. copia Verificar Copia del DOF
enlaces relevantes Enlaces Relevantes
Contacto Contáctenos
filtros rss Filtros RSS
historia Historia del Diario Oficial
estadisticas Estadísticas
estadisticas Vacantes en Gobierno
estadisticas Ex-trabajadores Migratorios
INDICADORES
Tipo de Cambio y Tasas al 03/12/2022

UDIS
7.624544

Ver más
ENCUESTAS

¿Le gustó la nueva imagen de la página web del Diario Oficial de la Federación?

 

0.110712001508857610.jpg 0.192286001221699769.jpg 0.821786001312920061.gif 0.475545001508857915.jpg
Diario Oficial de la Federación

Río Amazonas No. 62, Col. Cuauhtémoc, C.P. 06500, Ciudad de México
Tel. (55) 5093-3200, donde podrá acceder a nuestro menú de servicios
Dirección electrónica: www.dof.gob.mx

113

AVISO LEGAL | ALGUNOS DERECHOS RESERVADOS © 2022