Resolución que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito. |
Viernes 12 de agosto de 2011 |
Al margen
un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría
de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.
La Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta
de Gobierno, con fundamento en lo dispuesto por los Artículos 46 Bis 1, 46 Bis
2, 52 y 97 de la Ley de Instituciones de Crédito, así como 4, fracciones I y
XXXVI, 12, fracción XV, 16, fracciones I, VII y XVI, y 19 de la Ley de la
Comisión Nacional Bancaria y de Valores, previa aprobación de su Junta de
Gobierno, y
CONSIDERANDO
Que con fecha 16 de junio de 2010 se publicó en el Diario Oficial de la Federación (DOF) la “Resolución que
reforma y adiciona las Disposiciones de carácter general a que se refiere el
artículo 115 de la Ley de Instituciones de Crédito”, emitida por la Secretaría
de Hacienda y Crédito Público (SHCP), la cual tuvo por objeto establecer que
las instituciones de crédito deben abstenerse de celebrar operaciones de compra
de dólares de los Estados Unidos de América (EE.UU.A.) en efectivo, así como de
recibir depósitos, pago de créditos y pago de servicios en dólares en efectivo,
con sus clientes o usuarios, cuando tales operaciones importen una cantidad
específica;
Que el 9 de septiembre de 2010,
la SHCP publicó en el DOF la “Resolución que reforma y adiciona las
Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de
Instituciones de Crédito”, con la finalidad de implementar medidas
complementarias con el objeto de realizar adecuaciones a la infraestructura
bancaria, particularmente en la zona de la franja fronteriza norte y en
municipios o delegaciones en los que económicamente se justifica la recepción
de dólares en efectivo, en función del alto flujo de personas físicas
extranjeras y de que la derrama de ingresos de dichas personas sea
significativa respecto de la actividad económica del municipio o delegación de
que se trate, así como de permitir el desarrollo de operaciones en las que las
instituciones de crédito adquieran dólares de los EE.UU.A., a través de
comisionistas bancarios;
Que consecuentemente, con fecha
9 de septiembre de 2010, esta Comisión Nacional Bancaria y de Valores (CNBV)
publicó en el DOF la “Resolución que modifica las Disposiciones de carácter
general aplicables a instituciones de crédito” con el objeto de modificar la
regulación aplicable a las instituciones de crédito en materia de contratación
con terceros de servicios o comisiones, para establecer el régimen al cual
deberán sujetarse las instituciones en la realización de operaciones de compra
y venta de dólares de los EE.UU.A., a través de sus comisionistas, con motivo
de las resoluciones emitidas por la SHCP;
Que el 20 de diciembre de 2010,
la SHCP publicó en el DOF la “Resolución que reforma y adiciona las
Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de
Instituciones de Crédito”, con el objeto de realizar ajustes al marco
regulatorio a fin de permitir el desarrollo de operaciones en las que las
instituciones de crédito adquieran dólares de los Estados Unidos de América
modificando los límites para realizar operaciones cambiarias;
Que derivado de lo anterior, el
propio 20 de diciembre de 2010 esta CNBV publicó en el DOF la “Resolución que
modifica las Disposiciones de carácter general aplicables a las instituciones de crédito” con el objeto de
modificar el límite aplicable a operaciones de compra de dólares de los
EE.UU.A, en función del tipo de comisionistas de que se trate para la
adquisición de productos o servicios comercializados por el propio
comisionista, así como de simplificar los requisitos de los comprobantes de
operación y los requerimientos de información solicitados por las instituciones
de crédito comitentes con las que operan;
Que a raíz de la entrada en
vigor de la regulación antes mencionada, se ha identificado que existe un grupo
de distintos representantes de sectores económicos que carecen de las
capacidades tecnológicas y económicas para realizar la inversiones necesarias
en sistemas y procesos operativos que permitan la emisión de comprobantes de
forma automatizada, por lo que han manifestado su preocupación respecto del
impacto que la regulación en materia de comisionistas cambiarios ha tenido
sobre sus operaciones comerciales;
Que a efecto de contribuir a que
no se vea afectada la actividad económica de los establecimientos comerciales ubicados en
municipios o delegaciones en los que económicamente se justifique que sean
receptores de dólares en efectivo, en función del alto flujo de personas
físicas extranjeras y la derrama de ingresos de dichas personas sea
significativa respecto de la actividad económica del municipio o delegación de
que se trate;
Que el Banco de México con fecha 17 de junio de 2011 emitió la Circular
número 14/2011 y el 7 de julio del mismo año la diversa 1/2006 BIS 41,
dirigidas a las instituciones de banca múltiple y de banca de desarrollo,
respectivamente, con la finalidad de clasificar los productos de captación
bancaria a la vista con base en los límites para los depósitos mensuales, y
Que con esta misma fecha la Secretaría de Hacienda y Crédito Público
reformó las “Disposiciones de carácter general a que se refiere el artículo 115
de la Ley de Instituciones de Crédito”, con la finalidad de modificar los
requisitos de apertura asociados a cada uno de los productos de captación
bancaria, resulta necesario modificar el régimen aplicable a las instituciones
de crédito en la contratación de terceros, a fin de ser consistentes con la
regulación vigente, por lo que ha resuelto expedir la siguiente:
RESOLUCION QUE MODIFICA LAS DISPOSICIONES DE CARACTER GENERAL
APLICABLES A LAS INSTITUCIONES DE CREDITO
UNICA.- Se ADICIONAN un inciso d) a
la fracción I, un último párrafo a la fracción V y una fracción VI al Artículo
307; un segundo párrafo a la fracción I del Artículo 320; un segundo párrafo a
las fracciones I, III y VI del Artículo 324, así como una fracción XIII a dicho
Artículo 324; se REFORMAN las
fracciones XL y CXXXIX del Artículo 1, las fracciones I, inciso b), III y V,
primer párrafo e inciso b), del Artículo 307; el segundo párrafo de las
fracciones I y II del Artículo 318; las fracciones I, II, III, IV, V, VI, VIII,
X y XI, segundo párrafo, del Artículo 319; la fracción IV del Artículo 320; el
segundo párrafo de la fracción I del Artículo 322; los párrafos segundo y
cuarto del Artículo 323; la fracción V del Artículo 324; el segundo párrafo del
Artículo 329; el Artículo 331, así como los párrafos primero y segundo del
Artículo 333; se DEROGAN las
fracciones IV, XXXVIII y XXXIX del Artículo 1, recorriéndose la numeración de
las fracciones de dicho artículo, cada una en su orden y según corresponda, los
incisos a), c) y d) de la fracción XI del Artículo 319, la fracción XI del
Artículo 320; la fracción VII del Artículo 322; así como los Artículos 325 Bis
a 325 Bis 5 que integran la Sección Segunda Bis del Capítulo XI del Título
Quinto, y se SUSTITUYEN el Reporte
Regulatorio “R26 Información por comisionista” del Anexo 36, los Anexos 52, 58
y 63 de las
“Disposiciones de carácter general aplicables a las instituciones de crédito”,
publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005,
modificadas mediante Resoluciones publicadas en el citado Diario Oficial el 3 y
28 de marzo, 15 de septiembre, 6 y 8 de diciembre de 2006, 12 de enero, 23 de
marzo, 26 de abril, 5 de noviembre de 2007, 10 de marzo, 22 de agosto, 19 de
septiembre, 14 de octubre, 4 de diciembre de 2008, 27 de abril, 28 de mayo, 11
de junio, 12 de agosto, 16 de octubre, 9 de noviembre, 1 y
24 de diciembre de 2009, 27 de enero, 10 de febrero, 9 y 15 de abril, 17 de
mayo, 28 de junio, 29 de julio, 19 de agosto, 9 y 28 de septiembre, 25 de
octubre, 26 de noviembre y 20 de diciembre de 2010, 24 y 27 de enero, 4 de
marzo de 2011, 21 de abril de 2011, 5 de julio de 2011 y 3 de agosto de 2011,
para quedar como sigue:
“Artículo 1.- …
I. a III. …
IV. Se deroga.
V. a
XXXVII. …
XXXVIII. Se deroga.
XXXIX. Se deroga.
XL. Cuentas
Bancarias: a las cuentas bancarias a la vista a que se refieren los numerales
M.11.11.1 y BD.11.21., de las Circulares 2019/95 y 1/2006, respectivamente,
emitidas por el Banco de México.
Dichas
cuentas podrán ser de “Nivel 1”, “Nivel 2”, “Nivel 3” o “Nivel 4” en términos
de lo establecido por las citadas Circulares 2019/95 y 1/2006.
XLI. a CXXXVIII. …
CXXXIX. Tarjeta Bancaria con Circuito Integrado: a las tarjetas de débito
o crédito o con un circuito integrado o chip, que pueda almacenar información y
procesarla con el fin de verificar, mediante procedimientos criptográficos, que
la tarjeta y la terminal donde se utiliza son válidas.
CXL. a CL. …”
“Artículo 307.- …
I. …
a) …
b) Aquellos ofrecidos a través de Cajeros Automáticos y Terminales Punto de Venta,
cuando estos se refieran exclusivamente a la operación de Cuentas Bancarias de
los Niveles 1 a 3.
c) …
d) Banca Móvil, Banca por
Internet, Banca Telefónica Audio Respuesta y Banca Telefónica Voz a Voz, cuando
estén asociados a Cuentas Bancarias de Niveles 1 a 3, según corresponda, y sean para realizar
operaciones diferentes a las previstas en el Artículo 313 de las presentes
disposiciones.
II. …
III. Tratándose de los
servicios mencionados en los incisos a) y d) de la fracción I anterior, la
contratación podrá llevarse a cabo de conformidad con las fracciones I y II
anteriores, o bien, a través de los centros de atención telefónica de las
propias Instituciones, sujetándose a lo señalado en el Artículo 310 fracción I
de estas disposiciones. En todo caso, para el servicio de Pago Móvil, las
Instituciones deberán establecer controles que impidan lo siguiente:
a) y
b) …
…
IV. …
V. Podrán permitir la contratación del servicio de Banca por
Internet, mediante firmas electrónicas avanzadas o fiables de sus clientes, a
fin de que estos realicen operaciones entre la cuenta registrada a su nombre en
la Institución, como cuenta originadora, y otra cuenta en otra Institución cuyo
titular sea el propio cliente, como Cuenta Destino. Será responsabilidad de la
Institución que permita la contratación del servicio de Banca por Internet en
términos de lo previsto en esta fracción, verificar que la cuenta en otra
Institución para realizar las operaciones previstas en la presente fracción se
encuentre registrada a nombre del propio cliente.
a) …
b) Para
realizar transferencias de recursos dinerarios o instrucciones de cargo entre
la cuenta originadora registrada en la Institución y la Cuenta Destino a que se refiere el
párrafo anterior, las Instituciones deberán requerir a sus Usuarios un Factor de
Autenticación Categoría 2 a que se refiere el Artículo 310 de estas
disposiciones, sin que le sea aplicable el primer párrafo del Artículo 313 de
las presentes disposiciones, debiendo contemplar, en todo caso, controles que
aseguren que es el Usuario quien está instruyendo a la Institución, y
c) …
Para
la contratación de los servicios de Banca por Internet, Banca Telefónica Audio Respuesta o Banca Telefónica Voz a Voz
relacionados con Cuentas Bancarias de Niveles 2 y 3 u otras con los mismos
niveles transaccionales, como cuentas originadoras, a fin de realizar las
operaciones descritas en esta fracción, las Instituciones podrán utilizar
mecanismos de identificación similares a los requeridos para la apertura de
dicha cuenta originadora.
VI. Tratándose de las Cuentas Bancarias de Nivel 1, dichas
cuentas no podrán asociarse a servicios de Banca Electrónica para realizar
Operaciones Monetarias, exceptuándose aquellos servicios ofrecidos a través de
Cajeros Automáticos y Terminales Punto de Venta. En el caso de las operaciones
que se realicen a través de Terminales Punto de Venta, estas solo podrán
efectuarse cuando el Usuario presente la tarjeta de débito de que se trate en
el Establecimiento.”
“Artículo 318.- …
I. …
Asimismo, en ningún
caso, dichos comisionistas podrán llevar a cabo aprobaciones y aperturas de
cuentas de operaciones activas, pasivas y de servicios, salvo que se trate de
operaciones de las previstas por el Artículo 319, fracciones IX y X de las
presentes disposiciones.
II. ...
Tratándose de las
comisiones a que se refiere la Sección Segunda de este capítulo, los criterios
orientados a evaluar la experiencia y capacidad técnica del tercero, deberán
apegarse a lo dispuesto por el Anexo 57 de las presentes disposiciones.
III. a VII. …
…
…
…”
Sección Segunda
De la contratación con terceros
de comisiones que tengan por objeto la captación de recursos del público y
otras operaciones bancarias fuera de las oficinas bancarias
“Artículo
319.- …
I. Pagos
de servicios en efectivo, con cargo a tarjetas de crédito o de débito, o bien,
con cheques librados para tales fines a cargo de la Institución comitente.
II. Retiros de efectivo
efectuados por el propio cliente titular de la cuenta respectiva, o por las
personas autorizadas en términos del primer párrafo del Artículo 57 de la Ley.
III. Depósitos en efectivo o
con cheque librado a cargo de la Institución comitente, en cuentas propias o de
terceros.
IV. Pagos de créditos a favor
de la propia Institución o de otra en efectivo, con cargo a tarjetas de crédito
o de débito, incluyendo el cobro de cheques para tales fines.
V. Situaciones de fondos para
pago en las oficinas bancarias de las Instituciones comitentes, o bien, a
través de los propios comisionistas, así como transferencias entre cuentas,
incluso a cuentas de otras Instituciones.
VI. Poner en circulación
cualquier medio de pago de los referidos en la fracción XXVI Bis del Artículo
46 de la Ley.
VII. …
VIII. Consultas de saldos y
movimientos de cuentas y medios de pago autorizados por el Banco de México.
IX. …
X. Realizar la apertura de
Cuentas Bancarias de Niveles 1, 2 y 3, así como de cuentas de administración de
valores con clientes que sean personas físicas cuya operación se encuentre
limitada a niveles transaccionales inferiores al equivalente a tres mil UDIs
por cliente y por Institución, o bien, con personas físicas y morales cuya
operación se encuentre limitada a niveles transaccionales inferiores al equivalente
a diez mil UDIs por cliente y por Institución.
En todo caso, la
Institución deberá contar en tiempo real con la información relativa a los
clientes que abran estas cuentas con el comisionista, sin perjuicio del
cumplimiento de las demás obligaciones previstas en las “Disposiciones de
carácter general a que se refiere el artículo 115 de la Ley de Instituciones de
Crédito”, emitidas por la Secretaría de Hacienda y Crédito Público y publicadas
el 20 de abril de 2009 en el Diario Oficial de la Federación, o las que las
sustituyan.
XI. ...
En la realización de las
operaciones a que se refiere esta fracción, no será aplicable lo dispuesto por
el Anexo 58 de estas disposiciones ni se encontrarán obligadas a emitir un
comprobante de operación a sus clientes. No obstante lo anterior, las
Instituciones deberán contar con los mecanismos necesarios para registrar y dar
seguimiento a la transaccionalidad diaria que operen a través de cada uno de
sus comisionistas. En todo caso, el
mecanismo de control a que se refiere el presente párrafo deberá contener los
elementos necesarios que les permitan a las Instituciones realizar auditorías
para verificar el cumplimiento de lo señalado por la fracción III del Artículo
323 de las presentes disposiciones.
a) Se deroga.
b) Derogado.
c) Se deroga.
d) Se deroga.
...
...
...
...
...
…
…
…
…”
“Artículo 320.- …
…
…
I. ...
Tratándose de
operaciones realizadas a través de Administradores de Comisionistas, las
Instituciones deberán establecer que corresponderá a estos últimos acreditar,
en su carácter de apoderados, el cumplimiento de los requisitos señalados en
las fracciones II, IV, V y VI del Artículo 318 respecto de las operaciones que
efectúen los comisionistas que administren.
II. y III. ...
IV La
descripción de los Medios Electrónicos que utilizarán las Instituciones para
garantizar la correcta ejecución de las operaciones bancarias y de seguridad de
la información de los clientes bancarios y del público en general, para lo cual
deberán cumplir con los requerimientos técnicos para la operación de Medios
Electrónicos a que se refiere el Anexo 58 de las presentes disposiciones, salvo
tratándose de las operaciones a que se refiere la fracción XI del Artículo 319.
V. a X. ….
XI. Se deroga.
…
…”
“Artículo 322.- …
I. …
En
todo caso, la cuenta de depósito a la vista deberá ser cargada o abonada, en
función de la naturaleza de la transacción que el comisionista celebre con el
cliente bancario y con el público en general, transfiriendo en línea los
recursos a, o de la cuenta de este último o bien a las cuentas propias de la
Institución, según sea el caso, para los efectos solicitados, salvo tratándose
de las operaciones a que se refiere la fracción XI del Artículo 319.
…
…
…
…
…
II. a VI. …
VII. Se deroga.
Artículo 323.- …
I. a III. …
Las Instituciones deberán cerciorarse a través de sistemas informáticos
y controles automatizados, salvo tratándose de las operaciones a que se refiere
la fracción III de este artículo para cuyo seguimiento podrán utilizarse medios
diversos, que los comisionistas con los que contraten no excedan los límites a
que se refiere este artículo. En tal virtud, las Instituciones deberán
establecer los mecanismos necesarios, para que los referidos comisionistas
remitan a los clientes de las Instituciones y al público en general, a las
oficinas bancarias de éstas para la realización de operaciones, una vez que los
límites a que se refiere el presente artículo se actualicen.
…
En adición a los límites previstos por el presente artículo, las
Instituciones deberán sujetarse a los términos y condiciones que para la
operación de las Cuentas Bancarias establezca el Banco de México.
Artículo 324.- …
I. ...
Tratándose de
operaciones que se celebren a través de Administradores de Comisionistas, las
Instituciones deberán prever en los contratos de comisión mercantil, las
operaciones que el Administrador de Comisionistas contratará a nombre de la
Institución con los comisionistas que éste administrará, así como, en su caso,
las operaciones y servicios que, en adición a las previstas por la fracción X
del Artículo 319 de las presentes disposiciones, realizará el propio
Administrador de Comisionistas.
II. …
III. …
Tratándose de
operaciones que se celebren a través de Administradores de Comisionistas, las
Instituciones deberán prever en los contratos de comisión mercantil, la
obligación solidaria del Administrador de Comisionistas respecto del
cumplimiento por parte de los comisionistas bancarios sujetos a su
administración de lo dispuesto en la fracción I del Artículo 322 de las
presentes disposiciones.
IV. …
V. Las sanciones y, en su caso, penas convencionales por los
incumplimientos al contrato, incluyendo lo dispuesto por los artículos 330 y
331 de las presentes disposiciones.
VI. …
Tratándose de
operaciones que se celebren a través de Administradores de Comisionistas, las
Instituciones deberán prever en los contratos de comisión mercantil, la
obligación a cargo del citado administrador de acreditar el cumplimiento de los
requisitos señalados en las fracciones II, IV, V y VI del Artículo 318 respecto
de las operaciones que efectúen con sus comisionistas administrados.
VII. a XII.…
XIII. Tratándose de las
operaciones a que se refiere la fracción X del Artículo 319 de las presentes
disposiciones, la obligación del comisionista o, en su caso, del Administrador
de Comisionistas para recabar del cliente la información necesaria a fin de dar
cumplimiento a lo previsto en el Artículo 115 de la Ley y las disposiciones que
de dicho precepto emanen.
Para ello, los citados
comisionistas o, en su caso, Administradores de Comisionistas deberán
transmitir en tiempo y forma a la Institución la información relativa a las
mencionadas operaciones, según el nivel de la Cuenta Bancaria que corresponda,
a fin de que la propia Institución dé cumplimiento al citado Artículo 115 de la
Ley y las disposiciones que emanen del mismo.
…”
Sección Segunda Bis.- Se
deroga.
Artículo 325 Bis.- Se deroga.
Artículo 325 Bis 1.- Se
deroga.
Artículo 325 Bis 2.- Se
deroga.
Artículo 325 Bis 3.- Se
deroga.
Artículo 325 Bis 4.- Se
deroga.
Artículo 325 Bis 5.- Se
deroga.
“Artículo 329.- ...
El director general de la Institución de que se trate, será responsable
de dar seguimiento a la aplicación de las políticas a que se refiere el
Artículo 318, fracción VII, de rendir ante la Comisión el informe anual
previsto en el Artículo 320, así como de presentar el aviso señalado en el
Artículo 326, todos de estas disposiciones.
...
...”
“Artículo 331.- Las Instituciones se abstendrán de proporcionar el servicio a través
del tercero o comisionista de que se trate, cuando dichas Instituciones
adviertan cambios en la operación de los terceros o comisionistas, que puedan
afectar cualitativa o cuantitativamente las condiciones de la contratación, o
bien, cuando adviertan incumplimiento por parte de éstos a la normatividad
aplicable. La Institución de que se trate deberá informar a la Comisión lo
anterior, dentro de los cinco días hábiles siguientes a la suspensión del
servicio, cuando dichos servicios o comisiones sean de los citados en la
Sección Segunda de este capítulo.
Tratándose de los servicios o comisiones referidos en la Sección
Segunda de este capítulo, las Instituciones deberán informar a la Comisión
respecto de cualquier reforma al objeto social o a la organización interna del
tercero o comisionista que pudiera afectar la prestación del servicio objeto de
la contratación, dentro de los cinco días hábiles siguientes a la recepción de
la notificación a que se refiere el inciso d) de la fracción III del Artículo
318 de las presentes disposiciones.”
“Artículo 333.- Las Instituciones deberán contar con un padrón que contenga el tipo de
servicios y operaciones contratadas y datos generales de los prestadores de
servicios o comisionistas, distinguiendo aquéllos que cuentan con residencia en
el territorio nacional o en el extranjero. Tratándose de las operaciones a que
se refiere la Sección Segunda del presente capítulo, las Instituciones deberán
señalar en el padrón a que se refiere el presente artículo, los módulos o
establecimientos de los prestadores de servicios o comisionistas que tengan
habilitados para representar a las propias Instituciones con sus clientes y con
el público en general. Dicho padrón deberá estar a disposición de la Comisión
para su consulta.
Asimismo, las Instituciones deberán difundir a través de su página
electrónica en la red mundial denominada “Internet” el listado de los módulos o
establecimientos que los comisionistas tengan habilitados para realizar las
operaciones referidas en la Sección Segunda del presente capítulo,
especificando las operaciones que se pueden realizar en cada uno de ellos.
...”
TRANSITORIOS
PRIMERO.- La presente Resolución entrará en vigor
el 15 de agosto de 2011.
SEGUNDO.- Las instituciones de crédito en la realización
de las operaciones de apertura de Cuentas Bancarias de
Niveles 2, tendrán un plazo de 18
meses, contado a partir de la entrada en vigor de la presente Resolución, para
ajustarse a lo dispuesto en el segundo párrafo de la fracción X del Artículo
319, así como en el segundo párrafo de la fracción XIII del Artículo 324 de las
Disposiciones de carácter general aplicables a las instituciones de crédito,
que se adiciona mediante la presente Resolución.
Una vez concluido el plazo referido en el párrafo anterior, las
instituciones de crédito que no den cumplimiento a lo dispuesto por el segundo
párrafo del Artículo 324 de las Disposiciones de carácter general aplicables a
las instituciones de crédito, la Comisión procederá a sancionar dicho
incumplimiento en términos de la Ley de Instituciones de Crédito.
Atentamente,
México, D.F., a 11 de agosto de 2011.- El Presidente de la Comisión
Nacional Bancaria y de Valores, Guillermo
Enrique Babatz Torres.- Rúbrica.
ANEXO 36
REPORTES REGULATORIOS DE
BANCA MULTIPLE Y BANCA DE DESARROLLO
Indice ...
Serie R01 a Serie R24 …
R26 INFORMACION POR
COMISIONISTA
R26 REPORTE DE INFORMACION
POR COMISIONISTA
El reporte regulatorio R26 Información por Comisionista recaba información relacionada con
los comisionistas, sus módulos o establecimientos, así como las operaciones
realizadas que tengan por objeto la captación de recursos del público en
general y operaciones bancarias fuera de las oficinas bancarias que realice por
cuenta y a nombre de la institución (tanto en monto cómo en número), así como
la información relacionada a los contratos con administradores de comisionistas
que realicen operaciones de Cuentas Bancarias de Nivel 1 a 4.
El formulario R26
Información por Comisionista se integra por cuatro formularios, cuya
frecuencia de elaboración y presentación es mensual, los cuales se definen a
continuación:
R26 A 2610 |
Altas y Bajas de Administradores de Comisionistas En este formulario se
solicita información referente a los movimientos de altas y/o bajas de
Administradores de Comisionistas que tengan por objeto la operación de
Cuentas Bancarias. |
R26 A 2611 |
Altas y Bajas de Comisionistas En este formulario se
solicita información referente a los movimientos de altas y/o bajas de los
Comisionistas que tengan por objeto la captación de recursos del público y
otras operaciones bancarias fuera de las oficinas bancarias. Asimismo, se dan
de alta las operaciones que el comisionista o corresponsal cambiario tenga
con el banco por lo que también se utilizará este formulario para dar de alta
o baja las operaciones de compra-venta de dólares. |
R26 B 2612 |
Altas y Bajas de Módulos o Establecimientos de Comisionistas En este formulario se
solicita información referente a los módulos o establecimientos de los
prestadores de servicios o comisionistas que tengan habilitados para
representar a las propias instituciones con sus clientes y con el público en
general, reportando a la CNBV los movimientos de altas y/o bajas de dichos
módulos o establecimientos. |
R26 C 2613 |
Seguimiento de Operaciones de Comisionistas En este formulario se
presenta información referente a las operaciones (tanto en monto como en
número), de cada módulo o establecimiento realizadas por el comisionista
durante el periodo que se reporta; clasificando dichas operaciones por el
tipo de servicio prestado y por el medio de pago utilizado. |
FORMULARIO R26 A 2610 ALTAS Y
BAJAS DE ADMINISTRADORES DE COMISIONISTAS
INFORMACION
SOLICITADA |
|
SECCION IDENTIFICADOR DEL FORMULARIO |
PERIODO
QUE SE REPORTA |
CLAVE
DE LA ENTIDAD |
|
CLAVE
DEL FORMULARIO |
|
SECCION DE IDENTIFICACION DEL ADMINISTRADOR |
TIPO
DE MOVIMIENTO (ALTA O BAJA DEL ADMINISTRADOR) (Catálogo CNBV) |
IDENTIFICADOR
DEL ADMINISTRADOR |
|
NOMBRE
DEL ADMINISTRADOR |
|
RFC
DEL ADMINISTRADOR |
|
PERSONALIDAD
JURIDICA DEL ADMINISTRADOR (Catálogo CNBV) |
|
SECCION DE BAJAS |
CAUSA
DE LA BAJA DEL ADMINISTRADOR (Catálogo CNBV) |
FORMULARIO R26 A 2611
DESAGREGADO DE ALTAS Y BAJAS DE COMISIONISTAS
INFORMACION
SOLICITADA |
|
SECCION IDENTIFICADOR DEL FORMULARIO |
PERIODO
QUE SE REPORTA |
CLAVE DE
LA ENTIDAD |
|
CLAVE DEL
FORMULARIO |
|
SECCION IDENTIFICADOR DEL ADMINISTRADOR |
OPERACIONES
CON ADMINISTRADORES |
IDENTIFICADOR
DEL ADMINISTRADOR |
|
RFC DEL
ADMINISTRADOR |
|
SECCION DE IDENTIFICACION DEL COMISIONISTA |
TIPO DE
MOVIMIENTO (ALTA, BAJA O ACTUALIZACION DEL COMISIONISTA) (Catálogo CNBV) |
IDENTIFICADOR
DEL COMISIONISTA |
|
NOMBRE
DEL COMISIONISTA |
|
RFC DEL
COMISIONISTA |
|
PERSONALIDAD
JURIDICA DEL COMISIONISTA (FISICA O MORAL) (Catálogo CNBV) |
|
ACTIVIDAD
DEL COMISIONISTA (Catálogo CNBV) |
|
SECCION OPERACIONES CONTRATADAS POR EL
COMISIONISTA |
OPERACIONES
CONTRATADAS (Catálogo CNBV) |
SECCION DE BAJAS |
CAUSA DE
LA BAJA DEL COMISIONISTA (Catálogo CNBV) |
FORMULARIO R26 B 2612
DESAGREGADO DE ALTAS Y BAJAS DE MODULOS O ESTABLECIMIENTOS DE COMISIONISTAS
INFORMACION
SOLICITADA |
|
SECCION
IDENTIFICADOR DEL FORMULARIO |
PERIODO
QUE SE REPORTA |
CLAVE DE
LA ENTIDAD |
|
CLAVE DEL
FORMULARIO |
|
SECCION
IDENTIFICADOR DEL COMISIONISTA |
IDENTIFICADOR
DEL COMISIONISTA |
RFC DEL
COMISIONISTA |
|
SECCION
IDENTIFICADOR DEL MODULO O ESTABLECIMIENTO |
TIPO DE
MOVIMIENTO (ALTA Y/O BAJA DEL MODULO O ESTABLECIMIENTO) |
CLAVE DEL
MODULO O ESTABLECIMIENTO |
|
LOCALIDAD
DEL MODULO O ESTABLECIMIENTO |
|
SECCION
DE BAJAS |
CAUSA DE
LA BAJA DEL MODULO O ESTABLECIMIENTO |
FORMULARIO R26 C 2613
DESAGREGADO DE SEGUIMIENTO DE OPERACIONES DE COMISIONISTAS
INFORMACION
SOLICITADA |
|
SECCION IDENTIFICADOR DEL FORMULARIO |
PERIODO
QUE SE REPORTA |
CLAVE DE
LA ENTIDAD |
|
CLAVE DEL
FORMULARIO |
|
SECCION DE DATOS DE LA INSTITUCION |
CAPTACION
MENSUAL PROMEDIO |
SECCION IDENTIFICADOR DEL ADMINISTRADOR |
IDENTIFICADOR
DEL ADMINISTRADOR |
|SECCION IDENTIFICADOR DEL COMISIONISTA |
IDENTIFICADOR
DEL COMISIONISTA |
SECCION IDENTIFICADOR DEL MODULO O
ESTABLECIMIENTO |
CLAVE DEL
MODULO O ESTABLECIMIENTO |
LOCALIDAD
DEL MODULO O ESTABLECIMIENTO (Catálogo CNBV) |
|
SECCION DE CLASIFICADORES DE LA AGRUPACION |
TIPO DE
OPERACION REALIZADA POR EL COMISIONISTA (Catálogo CNBV) |
MEDIO DE
PAGO UTILIZADO (Catálogo CNBV) |
|
SECCION DE MOVIMIENTOS Y OPERACIONES |
MONTO DE
LAS OPERACIONES REALIZADAS |
NUMERO DE
OPERACIONES REALIZADAS |
|
NUMERO DE
CLIENTES QUE REALIZARON OPERACIONES |
Las Instituciones de Crédito reportarán la información
que se indica en los presentes formularios, ajustándose a las características y
especificaciones que para efectos de llenado y envío de información, se
presentan en el Sistema Interinstitucional de Transferencia de Información
(SITI).
Serie R27 …
ANEXO 52
LINEAMIENTOS MINIMOS DE
OPERACION Y SEGURIDAD PARA LA CONTRATACION DE SERVICIOS DE APOYO TECNOLOGICO
Las Instituciones deberán considerar los aspectos
siguientes:
I. Aspectos en materia de operación.
a. Esquemas de
redundancia o mecanismos alternos en las telecomunicaciones de punto a punto
que permitan contar con enlaces de comunicación que minimicen el riesgo de
interrupción en el servicio de telecomunicaciones.
b. Estrategia
de continuidad en los servicios informáticos que proporcionen a la Institución
la capacidad de procesar y operar los sistemas en caso de contingencia, fallas
o interrupciones en las telecomunicaciones o de los equipos de cómputo
centrales y otros que estén involucrados en el servicio de procesamiento de
información de operaciones o servicios.
c. Mecanismos
para establecer y vigilar la calidad en los servicios de información, así como
los tiempos de respuesta de los sistemas y aplicaciones.
d. Esquema de
soporte técnico, a fin de solucionar problemas e incidencias, con
independencia, en su caso, de las diferencias en husos horarios y días hábiles.
II. Aspectos en materia de seguridad.
a. Medidas para
asegurar la transmisión de la Información Sensible del Usuario en forma cifrada
punto a punto y elementos o controles de seguridad en cada uno de los nodos
involucrados en el envío y recepción de datos.
b. Establecimiento
de funciones del oficial de seguridad. Para efectos de que la Institución
contratante se mantenga enterada del acceso y uso de la información, deberá
designar a una persona que se desempeñe como oficial de seguridad en la
Institución, quien gozará de independencia respecto de las áreas operativas, de
auditoría y de sistemas, y cuya función consistirá, entre otras cosas, en
administrar y autorizar los accesos. Dichos accesos deberán corresponder a la
necesidad de conocer la información de acuerdo a las funciones documentadas del
puesto.
Asimismo,
el oficial de seguridad deberá contar en todo momento con los registros de todo
el personal que tenga acceso a la información relacionada con las operaciones
de la Institución, incluso de aquél ubicado fuera del territorio nacional, en
cuyo caso el personal autorizado para acceder a dicha información deberá ser
autorizado por el responsable de las funciones de contraloría interna señaladas
en la fracción V del Artículo 166 de las presentes disposiciones.
c. Esquema
mediante el cual se mantendrá en una oficina de la institución de crédito
contratante, la bitácora de acceso a la información por el personal debidamente
autorizado.
III. Auditoría y Supervisión.
a. Políticas y
procedimientos relativos a la realización de auditorías internas o externas
sobre la infraestructura, controles y operación del centro de cómputo del
tercero, relacionado con el ambiente de producción para la institución de
crédito, al menos una vez cada dos años con el fin de evaluar el cumplimiento
de lo mencionado en el presente anexo.
Tratándose
de las operaciones a que se refiere la fracción X del Artículo 319 de las
disposiciones que se realicen a través de Administradores de Comisionistas, la
auditoría a que se refiere el párrafo anterior, deberá realizarse por la propia
Institución, al menos una vez al año.
b. Mecanismos
de acceso al ambiente tecnológico, incluyendo información, bases de datos y
configuraciones de seguridad, desde las instalaciones de la Institución en
territorio nacional.
ANEXO 58
REQUERIMIENTOS TECNICOS PARA
LA OPERACION DE MEDIOS ELECTRONICOS PARA LAS OPERACIONES CONTEMPLADAS EN LA
SECCION SEGUNDA DEL CAPITULO XI DEL TITULO QUINTO
Los Medios Electrónicos que utilicen las Instituciones
para garantizar la correcta ejecución de las operaciones bancarias y de
seguridad de la información de los clientes bancarios y del público en general,
deberán cumplir con los requerimientos a que se refiere el presente anexo.
I. Definiciones.
Para
efectos del presente anexo, en adición a las definiciones señaladas en el
Artículo 1 de las presentes disposiciones, se entenderá por:
1. Identificador
Individual: La cadena de caracteres asignada a cada Operador en lo individual.
2. Operador: El
empleado del comisionista Usuario que tenga acceso a los Medios Electrónicos.
II. Requerimientos de los Medios
Electrónicos.
1. Mecanismos
necesarios para realizar las transacciones en línea.
Los Medios
Electrónicos deberán contar con los mecanismos necesarios para realizar las
transacciones en línea, es decir, al instante mismo en que se lleve a cabo la
operación, actualizando los saldos del cliente en línea salvo tratándose de las
operaciones referidas en el Artículo 319, Fracción IV, donde podrán realizar la
actualización de saldos en apego a lo establecido por las reglas de operación
de las propias Instituciones.
Para tales
efectos, las operaciones de pago de servicios en efectivo o con tarjeta de
débito, o con cargo a Cuentas Bancarias, depósito de efectivo, pago de créditos
en efectivo y situación de fondos; deberán registrarse como un cargo a la
cuenta de depósito que el comisionista tenga con la Institución. Por su parte,
las operaciones de retiro de efectivo y pago de cheques deberán registrarse
como un abono a la misma cuenta.
2. Validación
de Medios Electrónicos del comisionista.
Unicamente
los Medios Electrónicos de los comisionistas autorizados por la Institución
tendrán acceso a la infraestructura dispuesta por aquélla.
Los
sistemas informáticos de la Institución deberán autenticar a los Medios
Electrónicos que los comisionistas utilicen para realizar operaciones
bancarias.
3. Certificación
de Medios Electrónicos del comisionista.
La
Institución será responsable de certificar la instalación y el uso de los
Medios Electrónicos que el comisionista mantenga para la realización de las
operaciones bancarias, así como de establecer mecanismos periódicos de
evaluación de dichos Medios Electrónicos.
Asimismo,
la Institución deberá cerciorarse en todo momento que los medios electrónicos
utilizados por los comisionistas mantienen mecanismos de control que eviten la
lectura y extracción de la información de los clientes por terceros no
autorizados.
4. Políticas y
procedimientos para la administración de accesos y configuración de Medios
Electrónicos.
La
Institución deberá contar con políticas y procedimientos para la:
a) Administración
de los accesos de los empleados de los comisionistas a los Medios Electrónicos.
b) Capacitación
a los comisionistas en el uso de los Medios Electrónicos. Dicha capacitación
deberá incluir aspectos relacionados con la protección de la información de los
clientes bancarios.
c) Configuración
de los Medios Electrónicos que se conecten a sus sistemas informáticos.
d) Administración
de llaves criptográficas utilizadas entre los comisionistas y sus sistemas.
5. Transmisión
de datos Cifrada.
Las
Instituciones deberán cifrar el mensaje o utilizar medios de comunicación
Cifrada para la transmisión de la Información Sensible del Usuario, desde el
punto de originación de la operación hasta los sistemas centrales de la
Institución, para llevar a cabo
consultas, Operaciones Monetarias y cualquier otro tipo de transacción
bancaria, entre la Institución y sus clientes utilizando los Medios
Electrónicos de los comisionistas.
6. Generación
de registros electrónicos de operaciones.
Todas las
operaciones realizadas a través de los comisionistas deberán generar registros
electrónicos que no puedan ser modificados o borrados y en los que se deberá
incluir al menos la fecha, hora y minuto, el tipo y monto de la instrucción, el
número de cuenta del cliente bancario, ubicación física de la ventanilla o
medio a través del cual se ejecutó la instrucción, así como la información
suficiente que permita la identificación del personal que realizó la
instrucción. La custodia de dichos registros deberá estar a cargo de la
Institución.
III. Requerimientos de Autenticación de
Operadores y clientes bancarios.
1. Mecanismos
necesarios para la plena identificación de los comisionistas.
Las
Instituciones deberán autenticar a los Operadores que se conectarán a través de
los comisionistas.
2. Generación y
entrega de Contraseñas o Claves de Acceso de los Operadores y Números de
Identificación Personal (NIP) de los clientes bancarios.
Las
Instituciones deberán establecer mecanismos para el proceso de generación y
entrega de los Factores de Autenticación que aseguren que sólo el comisionista,
en su caso, los Operadores y los clientes bancarios, respectivamente, podrán
conocer.
3. Composición
de Contraseñas o Claves de Acceso de los Operadores y Números de Identificación
Personal (NIP) de los clientes bancarios.
Deberán
establecerse criterios para las características de la longitud de las
Contraseñas o Claves de Acceso de los Operadores y de los Números de
Identificación Personal (NIP) de los
clientes bancarios.
4. Protección
de Contraseñas o Claves de Acceso y Números de Identificación Personal (NIP).
Las
Instituciones deberán proveer lo necesario para evitar la lectura de los
caracteres que componen las Contraseñas o Claves de Acceso, así como los
Números de Identificación Personal (NIP) digitados por los clientes bancarios,
respectivamente, en los Medios Electrónicos de acceso, tanto en su captura como
en su despliegue a través de la pantalla.
Las
Contraseñas o Claves de Acceso y los Números de Identificación Personal (NIP)
deberán validarse y almacenarse a través de mecanismos de encripción, cuyas llaves criptográficas deberán
estar bajo administración y control de la Institución de que se trate. En ningún momento, los comisionistas
podrán tener acceso a los datos o algoritmos relacionados con dichas
Contraseñas o Claves de Acceso y Números de Identificación Personal (NIP).
5. Autenticación
con dos factores para clientes bancarios.
Para la
realización a través de los comisionistas de consultas y operaciones que
representen un cargo a la cuenta de los clientes bancarios, éstos últimos
deberán autenticarse a través de los Medios Electrónicos con los que se
realicen las mencionadas operaciones utilizando dos Factores de Autenticación
diferentes.
Para
efectos de lo anterior, las Instituciones podrán optar por la combinación de al
menos dos de los siguientes Factores de Autenticación y ajustarse a lo
dispuesto en el Capítulo X del Título Quinto de las presentes disposiciones:
a) Tarjetas de
débito o crédito con mecanismos de seguridad tales como tarjetas con banda
magnética y/o circuito integrado o “chip”.
b) Número de
Identificación Personal (NIP).
En el caso
de que se utilicen tarjetas de débito o crédito, se deberá hacer uso de
lectoras de tarjetas, tales como PIN PADS, para la Autenticación de clientes
bancarios, que cuenten con una pantalla y un teclado exclusivamente diseñado
para que el cliente bancario pueda ingresar la información de su respectiva
tarjeta y su Número de Identificación Personal (NIP), así como con mecanismos
que eviten su lectura por parte de terceros.
En el caso
de utilizar teléfono celular, el Número de Identificación Personal (NIP) deberá
ser ingresado directamente en el teclado de dicho teléfono. En ningún caso la
información del NIP podrá ser almacenada en el teléfono celular sin mecanismos
de encripción.
c) Factor
Biométrico.
En caso de
utilizar lectores biométricos para la Autenticación de los clientes bancarios,
dichos lectores deberán tener mecanismos que aseguren que es el cliente
autorizado el que realiza la operación.
Toda la
administración y control de la información biométrica deberá ser
responsabilidad única de la Institución a través de los canales de atención al
cliente que tienen establecidos.
d) Teléfono
celular.
En caso de
utilizar teléfonos celulares para la Autenticación de los clientes bancarios,
las Instituciones deberán verificar que la tecnología de dichos teléfonos
celulares les permita funcionar como Factor de Autenticación y que cuenta con
mecanismos de seguridad que eviten su duplicación.
Las
Instituciones no podrán utilizar la combinación de los Factores de
Autenticación a que se refieren los incisos a) y d) para autenticar a sus
clientes.
6. Autenticación
para Operadores.
Para la
recepción y operación de transacciones solicitadas por los clientes bancarios a
través de los Medios Electrónicos de los comisionistas, los Operadores deberán
iniciar una sesión y autenticarse a través de dichos Medios.
Los
procesos de autenticación deberán ser responsabilidad única de la Institución,
a través de los mecanismos que ésta estime conveniente.
7. Bloqueo de
los Factores de Autenticación.
Se deberán
establecer esquemas de bloqueo de los Factores de Autenticación cuando se
intente ingresar a los Medios Electrónicos de forma incorrecta. En ningún caso
los intentos de acceso fallidos podrán exceder de cinco ocasiones consecutivas
sin que se genere el bloqueo automático.
Unicamente
la Institución, previa autenticación del cliente bancario o del Operador, en su
caso, podrá desbloquear dichos Factores de Autenticación.
8. Acceso a datos
del cliente bancario.
En ningún
caso los Medios Electrónicos utilizados por los comisionistas podrán permitir
la realización de operaciones o consulta de saldos sin la previa Autenticación
en términos del numeral 5 del apartado III del presente anexo, del cliente correspondiente. Quedarán
exceptuadas para este caso las operaciones de depósito y pagos.
Asimismo,
tratándose de operaciones bancarias que requieran que el comisionista acceda a
los saldos de las cuentas de los clientes bancarios, dicho comisionista deberá,
en todo momento, guardar confidencialidad respecto de dicha operación y
realizar previamente al acceso respectivo, la Autenticación referida en el
numeral 1 del apartado III del presente anexo.
IV. Operación de Medios Electrónicos.
1. Validación
de estructura de cuenta destino.
Los Medios
Electrónicos de los comisionistas deberán validar, con base en la información
disponible para la Institución, la estructura del número de la cuenta destino o
del contrato, sea que se trate de cuentas para depósito, pago de servicios,
Clave Bancaria Estandarizada, tarjetas de crédito u otros medios de pago.
2. Generación
de comprobantes de operación.
Los Medios
Electrónicos deberán generar automáticamente los comprobantes de operación que
emitan las Instituciones para cada operación, sin mediar intervención alguna
por parte del personal del comisionista. Dichos comprobantes de operación serán
diferentes a aquéllos que utilicen los comisionistas para registrar las
operaciones propias de su giro comercial y deberán incluir, en adición a lo
dispuesto por las disposiciones aplicables en materia de comprobantes de
operación de las Instituciones, lo siguiente:
a) Los datos que
permitan al cliente bancario identificar la cuenta respecto de la cual se
efectuó la operación. En ningún momento se deberá mostrar en los comprobantes
el número completo de la cuenta.
b) La
información de las consultas de saldos, cuando el cliente así lo haya
solicitado y autorizado, en cuyo caso deberá ser proporcionada únicamente al
cliente a través del comprobante correspondiente. El comisionista no podrá
emitir un duplicado de dicho comprobante o mantener copia del mismo.
c) La
identificación de la Institución y del comisionista con el que se efectuó la
operación, precisando en este último caso, el domicilio del establecimiento a
través del cual se ejecutó la instrucción, así como la identificación de los
medios de disposición que se hubieren utilizado.
d) La
información que permita la identificación del personal que realizó la
instrucción.
e) Cuando se
alcancen los límites a que se refieren los Artículos 323 de las presentes disposiciones, según
corresponda, no se podrán llevar a cabo las operaciones solicitadas, por lo que
los Medios Electrónicos deberán generar comprobantes que indiquen al cliente
bancario dicha situación. Para tales efectos, se deberá proporcionar un
comprobante que incluya las leyendas siguientes:
i) En el caso
del límite a que se refiere la fracción II, inciso b), del Artículo 323 de las
presentes disposiciones:
“Transacción
no realizada por haber excedido su límite permitido. Acuda a una sucursal
bancaria.”
ii) En el caso
de los límites a que se refieren las fracciones I y II, inciso a), del Artículo
323 de las presentes disposiciones, según corresponda:
“Transacción
no realizada.”
Por ningún motivo deberá mostrarse en el
comprobante de operación el domicilio del cliente.
3. Monitoreo de
operaciones.
La
Institución deberá establecer mecanismos continuos mediante herramientas
informáticas que le permitan monitorear las actividades realizadas por los
Operadores a través de los Medios Electrónicos de los comisionistas con el fin
de detectar transacciones que se alejen de los parámetros habituales de
operación.
4. Almacenamiento
de Información Sensible del Usuario bancario en Medios Electrónicos de los
comisionistas.
Los
comisionistas no podrán almacenar, conservar o copiar en sus Medios
Electrónicos o en cualquier otro medio, Información Sensible del Usuario de la
Institución. Asimismo, los comisionistas no podrán emitir un duplicado de los
comprobantes de consultas de saldos o mantener copias de los mismos. En los
casos que por razones operativas y técnicas se requiera almacenar parcial o
totalmente dicha información en sus Medios Electrónicos, ésta deberá mantener
mecanismos de encripción. Las llaves criptográficas correspondientes deberán
ser administradas por la propia Institución.
En el caso
de que la información relacionada con la clientela de la Institución
corresponda a operaciones derivadas del uso de Cuentas Bancarias, podrá ser
almacenada sin mecanismos de encripción, siempre y cuando la información no
contenga nombres y domicilios.
Corresponderá
a las Instituciones verificar el cumplimiento del presente numeral.
5. Administración
y control de aclaraciones y reportes por robo o extravío de los Factores de
Autenticación.
Todas las
aclaraciones y quejas a las que se refieren el segundo párrafo de la fracción
III del Artículo 322 de las presentes disposiciones, según corresponda, así
como los reportes por robo o extravío de los Factores de Autenticación
mencionados en la fracción VI del Artículo 322, deberán consolidarse en una
base de datos administrada y controlada en todo momento por la Institución de
que se trate.
ANEXO 63
GUIA PARA EL USO DEL SERVICIO DE BANCA ELECTRONICA
I. POR SERVICIO
a) Servicios Pago Móvil, Banca
Móvil y Banca por Internet
A=Artículo,
P=Párrafo, B=Bis, F= Fracción, T= Transitorio |
Concepto |
Pago Móvil |
Banca Móvil |
Banca por Internet |
Resumen |
Servicio en el
cual el dispositivo de acceso consiste en un Teléfono Móvil del Usuario cuyo número de línea se encuentra
asociado al servicio y en el que únicamente se podrán realizar consultas de saldos de las cuentas asociadas al servicio, pagos o transferencias con cargo a una tarjeta o cuenta bancaria
y actos para la administración del servicio A1. Se pueden realizar las siguientes operaciones: a) Micro Pagos (70 UDIs) sin registro de cuentas A314.P8 y sin Factor de Autenticación (FA) A313.P3, siempre y cuando la Institución
pague las reclamaciones en 48 horas A313.P3 b) Baja Cuantía (250 UDIs) sin registro de cuentas A314.P8 c) Mediana Cuantía (1,500 UDIs) requieren registro de Cuentas
Destino A314.P1 b) y c) requieren
de un solo FA A313.P2 (NIP de 5 dígitos A310.F2.b).ii) El monto de
operaciones está limitado a 1,500 UDIs
diarias y 4,000 UDIs mensuales A315.P5 |
Servicios y
operaciones bancarias a través de un Teléfono Móvil del Usuario cuyo número de línea está asociado al
servicio A1. Este dato debe ser obtenido de forma automática por la
Institución para ser utilizado como identificador de Usuario A308.P4 Los servicios que
utilicen navegadores u otras aplicaciones, y cuyo número de línea del Teléfono Móvil no se encuentre asociado al
servicio, son considerados Banca por Internet |
Servicios y
operaciones bancarias realizadas a través de Internet, en el sitio que
corresponda a uno o más dominios de la Institución, incluyendo el acceso
mediante el protocolo WAP o equivalente A1 El acceso al
servicio puede realizarse mediante cualquier equipo (PC, Teléfono Móvil, PDA)
con conexión a Internet |
Contratación |
A través de uno de
los siguientes: a) Centros de
atención telefónica A307.F3 b) Con firma
autógrafa A307.F1 c) En otro
servicio utilizando un Segundo Factor de Autenticación (2FA) A307.F2.P1. Asimismo, requiere confirmar la
contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2 Se pueden asociar
hasta dos tarjetas o cuentas bancarias del mismo Usuario a un número de línea
de Teléfono Móvil, siempre y cuando solamente una de ellas funcione bajo la
modalidad de Operaciones de Micro Pagos A307.F3.P2 Las cuentas de
nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones
monetarias. A307.F6 Se deben
establecer los mecanismos y procedimientos para la notificación de las
operaciones realizadas y servicios prestados A306.F1.c) |
A través de uno de
los siguientes: a) Con firma
autógrafa A307.F1 b) En otro
servicio utilizando un 2FA A307.F2.P1. Asimismo,
requiere confirmar la contratación utilizando un 2FA adicional en un periodo
no menor a 30 minutos A307.F2.P2 c) Centros de
atención telefónica, siempre y cuando las operaciones que se puedan realizar
no requieran un segundo factor de autenticación y sea para cuentas niveles 1
a 3 A307.F1.d) y
F3 Se deben establecer
los mecanismos y procedimientos para la notificación de las operaciones
realizadas y servicios prestados A306.F1.c) Las cuentas de
nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones
monetarias. A307.F6 |
A través de uno de
los siguientes: a) Con firma
autógrafa A307.F1 b) En otro
servicio utilizando un 2FA A307.F2.P1. Asimismo,
requiere confirmar la contratación utilizando un 2FA adicional en un periodo
no menor a 30 minutos A307.F2.P2 c) Con firma
electrónica avanzada o fiable (únicamente para realizar operaciones entre la
cuenta originadora del Usuario y una Cuenta Destino del propio Usuario en
otra Institución) o bien, tratándose de cuentas originadoras niveles 2 y 3,
con mecanismos similares al utilizado para abrir la cuenta. Se requiere autorización A307.F5 d) Centros de
Atención telefónica cuando el servicio esté asociado a cuentas de niveles 1 a
3 y sean para las operaciones que no
estén comprendidas en el artículo 313 de las presentes disposiciones) A307.F1.d) y F3 Se deben
establecer los mecanismos y procedimientos para la notificación de las
operaciones realizadas y servicios prestados A306.F1.c) Las cuentas de
nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones
monetarias. A307.F6 |
Identificador de Usuario |
Número de la línea
del teléfono móvil obtenido
automáticamente por la Institución A308.P4 |
Número de la línea
del teléfono móvil obtenido
automáticamente por la Institución A308.P4 |
Identificador
único de Usuario A308.P2 definido
por la Institución o por el propio Usuario de mínimo seis caracteres de
longitud A308.P3 |
Factores de Autenticación |
Factor Categoría 2: Contraseña o Número de
Identificación Personal (NIP) de 5 caracteres A310.F2.b).ii |
Factor Categoría 2: Contraseña o NIP de 6
caracteres A310.F2.b), más cualquiera de los
siguientes: Factor Categoría 3: Contraseñas de un solo uso
(OTP) A310.F3.P1. Se podrán usar tablas
aleatorias de Contraseñas con características que impidan su duplicación,
información que no se pueda usar más de una vez y que la información no sea
conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y
deberán asumir el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T), ó; Factor Categoría 4: Biométricos A310.F4.P1 |
Factor Categoría 2: Contraseña o NIP de 8
caracteres (Aplica A6T) A310.F2.b).iii, más cualquiera de los
siguientes: Factor Categoría 3: Contraseñas de un solo uso
(OTP) A310.F3.P1. Se podrán usar tablas
aleatorias de Contraseñas con características que impidan su duplicación,
información que no se pueda usar más de una vez y que la información no sea
conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y
deberán asumir el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T), ó; Factor Categoría 4: Biométricos A310.F4.P1 |
Autenticación de la Institución
por el Usuario |
No Aplica |
No Aplica |
Se debe proporcionar
información que solo el Usuario conozca antes de ingresar todos los elementos
de identificación y Autenticación del Usuario A311.F1 Una vez que el
Usuario identifique a la Institución e inicie Sesión, la Institución
desplegará fecha y hora del último acceso al servicio de Banca Electrónica y
nombre completo
A311.F2 |
Impedir la lectura en pantalla de
la información de Autenticación |
Puede no enmascararse el NIP, para ello requieren autorización A309.F1.P2 y deberán asumir el riesgo y los costos
de operaciones no reconocidas, abonando
al Usuario antes de 48 horas A309.F1.P3 |
Aplica A309.F1 |
Aplica A309.F1 |
Operaciones y uso de un 2FA
Categoría 3 (OTP) ó 4 (Biométrico) |
No requiere un 2FA
para Operaciones Monetarias A313.P2 Operaciones Monetarias permitidas: a) Transferencias
a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios A313.F1 b) Pago de
impuestos A313.F2 Se pueden realizar
pagos de hasta 70 UDIs sin necesidad
de utilizar ningún FA A313.P3. Se
requiere autorización y deberán asumir por escrito el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A313.P3 |
Operaciones
permitidas utilizando un 2FA A313.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A313.F1 b) Pago de impuestos A313.F2 c) Establecimiento e
incremento de límites de monto A313.F3 d) Registro de Cuentas
Destino A313.F4 e) Alta y modificación
del medio de notificación A313.F5 f) Consultas de estados
de cuenta A313.F6 g) Contratación de otro
servicio A313.F7 h) Desbloqueo de
Contraseñas o NIPs A313.F8 En el caso del
inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino
registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2 En el caso del
inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2
cuando dichas consultas versen sobre operaciones de crédito y se realice la
notificación correspondiente A313.F6.P3 Se pueden realizar
pagos de hasta 70 UDIs sin necesidad
de utilizar ningún FA A313.P3. Se
requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A313.P3 |
Operaciones
permitidas utilizando un 2FA A313.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A313.F1 b) Pago de impuestos A313.F2 c) Establecimiento e
incremento de límites de monto A313.F3 d) Registro de Cuentas
Destino A313.F4 e) Alta y modificación
del medio de notificación A313.F5 f) Consultas de estados
de cuenta A313.F6 g) Contratación de otro
servicio A313.F7 h) Desbloqueo de
Contraseñas o NIPs A313.F8 En el caso del
inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino
registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2 En el caso del
inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2
cuando dichas consultas versen sobre operaciones de crédito y se realice la
notificación correspondiente A313.F6.P3 En el caso de
personas morales, no será obligatorio el uso de un 2FA por cada operación, si
se utilizan mecanismos mediante los cuales una persona realiza la solicitud
de la operación y otra es quien la autoriza A313.P5. Se requiere autorización y deberán asumir
el riesgo y los costos de
operaciones no reconocidas, abonando
al Usuario antes de 48 horas A313.P6 |
Registro de Cuentas Destino |
Para operaciones
mayores a 250 UDIs se requiere el registro de Cuentas Destino A314.P8. Las Cuentas Destino serán
habilitadas treinta minutos posteriores a su registro A314.P5 No es posible
registrar cuentas por este servicio A1 Se pueden
registrar cuentas mediante firma autógrafa A313.F1.P2 o
en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4 Las Cuentas
Destino registradas mediante firma autógrafa podrán quedar habilitadas antes
de los 30 minutos A314.P5 |
Para operaciones
mayores a 250 UDIs se requiere el registro de Cuentas Destino A314.P8, las cuales se habilitarán al
momento de registrarlas por este servicio A314.P5 Se pueden registrar
en el mismo servicio usando un 2FA Categorías 3 ó 4 A313.F4, mediante firma autógrafa A313.F1.P2, o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4 Las Cuentas
Destino registradas mediante firma autógrafa podrán quedar habilitadas antes
de los 30 minutos A314.P5 |
Se requiere el
registro de Cuentas Destino A314.P1, las
cuales se habilitarán treinta minutos posteriores a su registro A314.P5 Se pueden
registrar en el mismo servicio usando un 2FA Categorías 3 ó 4 A313.F4, mediante firma autógrafa A313.F1.P2, o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4 Se pueden
habilitar Cuentas Destino antes de los 30 minutos siempre y cuando las
operaciones no excedan del equivalente a las Operaciones Monetarias de Baja
Cuantía (250 UDIs) y 1,000 UDIs mensuales A314.P6, para ello requieren autorización A314.P6 Las Cuentas
Destino registradas mediante firma autógrafa podrán quedar habilitadas antes
de los 30 minutos A314.P5 Las Cuentas
Destino registradas por personas morales utilizando mecanismos mediante los
cuales una persona realiza la solicitud de la operación y otra es quien la
autoriza podrán quedar habilitadas antes de los 30 minutos A313.P5. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A313.P6 En el caso de
personas morales y personas físicas con actividad empresarial, se podrá
permitir el registro de un conjunto de Cuentas Destino considerándolo como
una sola operación A314.P4 |
Notificaciones |
Se deberá
notificar por el medio de comunicación proporcionado por el Usuario, en su
caso, los siguientes eventos A316.B1.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A316.B1.F1 b) Pago de impuestos A316.B1.F2 c) Modificación de
Contraseñas y NIPs A316.B1.F8 No se requieren
notificaciones para las operaciones referidas en los incisos a) y b) en los
siguientes casos: a) El monto acumulado
diario sea menor o igual a 600 UDIs A316.B1.P3 b) La operación sea menor
o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes A316.B1.P3 |
Se deberá
notificar por el medio de comunicación proporcionado por el Usuario, en su
caso, los siguientes eventos A316.B1.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A316.B1.F1 b) Pago de impuestos A316.B1.F2 c) Modificación de
límites de montos A316.B1.F3 d) Registro de Cuentas
Destino A316.B1.F4 e) Alta y modificación
del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5 f) Contratación de otro
servicio o modificación de condiciones en el uso A316.B1.F6 g) Desbloqueo de
Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7 h) Modificación de
Contraseñas y NIPs A316.B1.F8 |
Se deberá
notificar por el medio de comunicación proporcionado por el Usuario, en su
caso, los siguientes eventos A316.B1.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A316.B1.F1 b) Pago de impuestos A316.B1.F2 c) Modificación de
límites de montos A316.B1.F3 d) Registro de Cuentas
Destino A316.B1.F4 e) Alta y modificación
del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5 f) Contratación de otro
servicio o modificación de condiciones en el uso A316.B1.F6 g) Desbloqueo de
Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7 h) Modificación de
Contraseñas y NIPs A316.B1.F8 |
Límites de monto operativos |
Se pueden realizar
Operaciones Monetarias de hasta Mediana Cuantía (1,500 UDIs diarias) y 4,000
UDIs mensuales A315.P5 Operaciones de
hasta Mediana Cuantía A1 requieren registro previo de cuentas A314.P1 Se pueden realizar
Operaciones de Baja Cuantía (250 UDIs) sin registro de Cuentas Destino A314.P8 Para Operaciones
de Micro Pagos, el saldo disponible de la cuenta asociada debe ser menor o
igual a 70 UDIs
A315.P5 |
Límite definido
por el Usuario A315.P2 sin sobrepasar los límites
establecidos por la propia Institución A315.P6 Se pueden realizar
Operaciones hasta de Baja Cuantía (250 UDIs) sin registro de Cuentas Destino A314.P8 Para Operaciones
de Micro Pagos, el saldo disponible de la cuenta asociada debe ser menor o
igual a 70 UDIs
A315.P5 |
Límite definido
por el Usuario A315.P2 sin sobrepasar los límites
establecidos por la propia Institución A315.P6 Se limitan a Operaciones Monetarias de Baja Cuantía (250 UDIs) y
hasta 1,000 UDIs mensuales, a las Cuentas Destino que queden habilitadas antes
de pasar 30 minutos desde su registroA314.P6, para ello requieren autorización
A314.P6 |
Controles para establecer límites de monto aplicables al mismo
canal o a otro |
No es posible establecer o incrementar límites de monto en este
servicioA1 |
Proveer lo necesario para que los Usuarios establezcan límites
de monto A315.P2. Para establecer o incrementar,
se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo servicio o en otro A313.F4 Para disminuir, mismo servicio con FA Categoría 2 A315.P3 |
Proveer lo necesario para que los Usuarios establezcan límites
de monto A315.P2. Para establecer o incrementar,
se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo servicio o en otro A313.F4 Para disminuir, mismo servicio con FA Categoría 2 A315.P3 |
Seguridad en el envío de Contraseñas y Números de Identificación
Personal |
Podrán implementar controles compensatorios para proteger la
transmisión de Información Sensible del
Usuario A316.B10.F1.P4 |
Transmisión cifrada de Información Sensible del Usuario desde el
Dispositivo de Acceso hasta su recepción por la Institución A316.B10.F1 |
Transmisión cifrada de Información Sensible del Usuario desde el
Dispositivo de Acceso hasta su recepción por la Institución A316.B10.F1 |
Activación / Desactivación Servicios |
Los Usuarios deberán tener la opción de desactivar en forma
temporal el servicio A316.B5.P1 en el mismo servicio o en otro con un FA A316.B5.P1,P2 La reactivación se puede hacer en un centro de atención
telefónica o usando los medios de contratación A316.B5.P3 |
Los Usuarios deberán tener la opción de desactivar en forma
temporal el servicio A316.B5.P1 en el mismo servicio o en otro con un FA A316.B5.P1,P2 La reactivación se puede hacer en un centro de atención
telefónica o usando los medios de contratación A316.B5.P3 |
No aplica |
b) Servicios
de Banca Electrónica ofrecidos a través de Cajeros Automáticos y Terminales
Punto de Venta
A=Artículo, P=Párrafo, B=Bis, F=
Fracción, T= Transitorio |
Concepto |
Cajeros Automáticos |
Terminal Punto de Venta |
Resumen |
Servicios de Banca Electrónica proporcionados a través de
Dispositivos de Acceso de autoservicio que permiten realizar consultas y
operaciones bancarias y al cual se accede mediante una tarjeta o cuenta
bancaria A1 Deben contar con lectores que permitan obtener información de
Tarjetas Bancarias con Circuito Integrado A316.B8 (Aplica A9T) |
Servicios
de Banca Electrónica proporcionados a través
de Dispositivos de Acceso, tales como terminales de cómputo, teléfonos
móviles y programas de cómputo, operados por comercios o Usuarios para el pago de bienes o
servicios con cargo a una tarjeta o
cuenta bancaria A1 Deben contar con lectores que permitan obtener información de
Tarjetas Bancarias con Circuito Integrado A316.B8 (Aplica A4T) |
Contratación |
A través de uno de
los siguientes: a) Con firma
autógrafa A307.F1 b) En otro
servicio utilizando un Segundo Factor de Autenticación (2FA) A307.F2.P1. Asimismo, requiere confirmar la
contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2 Tratándose de la operación de Cuentas Bancarias de los
Niveles 1 a 3, no se requiere
consentimiento mediante firma autógrafa para su uso A307.F1.b) No se puede
contratar otro servicio desde este medio A307.F2.P3 Se deben
establecer los mecanismos y procedimientos para la notificación de las
operaciones realizadas y servicios prestados A306.F1.c) |
A través de uno de
los siguientes: a) Con firma
autógrafa A307.F1 b) En otro
servicio utilizando un 2FA A307.F2.P1. Asimismo,
requiere confirmar la contratación utilizando un 2FA adicional en un periodo no
menor a 30 minutos A307.F2.P2 Tratándose de la operación de Cuentas Bancarias de los
Niveles 1 a 3, no se requiere
consentimiento mediante firma autógrafa para su uso A307.F1.b) No se puede
contratar otro servicio desde este medio A307.F2.P3 Se deben
establecer los mecanismos y procedimientos para la notificación de las
operaciones realizadas y servicios prestados A306.F1.c) |
Identificación de Usuario |
Puede ser el
número de tarjeta bancaria A308.P4 |
Puede ser el
número de tarjeta bancaria A308.P4 |
Factores de Autenticación |
Factor 2:
Contraseña o NIP de 4 dígitos A310.F2.b).i más cualquiera de los siguientes: Factor 3:
Contraseñas de un solo uso (OTP) A310.F3.P1 y Tarjetas Bancarias con Circuito Integrado A310.F3.P3 Asimismo se podrán
usar Tarjetas Bancarias sin Circuito Integrado siempre y cuando las
Instituciones que aprueben las operaciones asuman el riesgo y los costos
de operaciones no reconocidas, abonando
al Usuario antes de 48 horas A310.F3.P4 (Aplica A10T) Se podrán usar
tablas aleatorias de Contraseñas con características que impidan su
duplicación, información que no se pueda usar más de una vez y que la
información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y
deberán asumir el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T), ó; Factor 4:
Biométricos A310.F4.P1 |
Factor 2:
Contraseña o NIP de 4 dígitos A310.F2.b).i más cualquiera de los siguientes: Factor 3:
Contraseñas de un solo uso (OTP) A310.F3.P1 y Tarjetas Bancarias con Circuito Integrado A310.F3.P3 Asimismo se podrán
usar Tarjetas Bancarias sin Circuito Integrado siempre y cuando las
Instituciones que aprueben las operaciones asuman el riesgo y los costos
de operaciones no reconocidas, abonando
al Usuario antes de 48 horas A310.F3.P4 (Aplica
A10T) Se podrán usar
tablas aleatorias de Contraseñas con características que impidan su
duplicación, información que no se pueda usar más de una vez y que la
información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y
deberán asumir el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T), ó; Factor 4:
Biométricos A310.F4.P1 |
Impedir la lectura en pantalla de
la información de Autenticación |
Aplica A309.F1 |
Aplica A309.F1 |
Operaciones y uso de un 2FA
Categoría 3 (OTP) ó 4 (Biométrico) |
Operaciones
permitidas utilizando un 2FA A313.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A313.F1 b) Pago de impuestos A313.F2 c) Establecimiento de
límites de monto A313.F3 d) Registro de Cuentas
Destino A313.F4 e) Alta del medio de
notificación A313.F5 f) Consultas de estados
de cuenta A313.F6 g) Desbloqueo de
Contraseñas o NIPs A313.F8 h) Retiro de efectivo A313.F9 En el caso del inciso
a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en
Oficinas Bancarias utilizando firma autógrafa A313.F1.P2 En el caso del
inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2
cuando dichas consultas versen sobre operaciones de crédito y se realice la
notificación correspondiente A313.F6.P3 No se puede
modificar el medio de notificación en este servicio A316.B1.P4 Los Cajeros
Automáticos que las Instituciones pongan a disposición de los Usuarios para
realizar operaciones deberán contar con lectores que obtengan la información
directamente del circuito de las Tarjetas Bancarias con Circuito Integrado A316.B8 (Aplica A9T) |
Operaciones
permitidas utilizando un 2FA A313.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A313.F1 b) Pago de impuestos A313.F2 c) Establecimiento de
límites de monto A313.F3 d) Registro de Cuentas
Destino A313.F4 e) Alta del medio de
notificación A313.F5 f) Consultas de estados
de cuenta A313.F6 g) Desbloqueo de
Contraseñas o NIPs A313.F8 En el caso del
inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino
registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2 En el caso del
inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2
cuando dichas consultas versen sobre operaciones de crédito y se realice la
notificación correspondiente A313.F6.P3 Se pueden realizar
pagos de hasta 70 UDIs sin necesidad
de utilizar un FA A313.P3. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A313.P3 No se puede
modificar el medio de notificación en este servicio A316.B1.P4 Las Terminales
Punto de Venta que las Instituciones pongan a disposición de los Usuarios
para realizar operaciones deberán contar con lectores que obtengan la
información directamente del circuito de las Tarjetas Bancarias con Circuito
Integrado A316.B8 (Aplica
A4T) |
Registro de Cuentas Destino |
No requiere
registro de Cuentas Destino A314.P8 |
No requiere
registro de Cuentas Destino A314.P8 |
Notificaciones |
Se deberá
notificar por el medio de comunicación proporcionado por el Usuario, en su
caso, los siguientes eventos A316.B1.P1: a) Transferencias a
cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A316.B1.F1 b) Pago de impuestos A316.B1.F2 c) Establecimiento de
límites de monto A316.B1.F3 d) Registro de Cuentas Destino de terceros u
otras Instituciones A316.B1.F4 e) Alta del medio de
notificación A316.B1.F5 f) Desbloqueo de
Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7 g) Modificación de
Contraseñas y NIPs A316.B1.F8 h) Retiro de efectivo A316.B1.F9 No se requieren
notificaciones para las operaciones referidas en los incisos a) y b) en los
siguientes casos: a) El monto acumulado
diario sea menor o igual a 600 UDIs A316.B1.P3 b) La operación sea menor
o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes A316.B1.P3 |
Se deberá
notificar por el medio de comunicación proporcionado por el Usuario, en su
caso, los siguientes eventos A316.B1.P1: a) Transferencias a
cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A316.B1.F1 b) Pago de impuestos A316.B1.F2 c) Establecimiento de
límites de monto A316.B1.F3 d) Registro de Cuentas Destino de terceros u
otras Instituciones A316.B1.F4 e) Alta del medio de
notificación A316.B1.F5 f) Desbloqueo de
Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7 g) Modificación de
Contraseñas y NIPs A316.B1.F8 No se requieren
notificaciones para las operaciones referidas en los incisos a) y b) en los
siguientes casos: a) El monto acumulado
diario sea menor o igual a 600 UDIs A316.B1.P3 b) La operación sea menor
o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes A316.B1.P3 |
Límites de monto operativos |
Límite de 1,500
UDIs diarias por cuenta A315.P4 |
No aplica |
Controles para establecer límites
de monto aplicables al mismo canal o a otro |
Es posible
establecer o incrementar mediante firma autógrafa A315.P1 o con un 2FA Categoría 3 ó 4 en otro
servicio A313.F4 Para disminuir,
mismo servicio con FA Categoría 2 A315.P3 |
Es posible
establecer o incrementar mediante firma autógrafa A315.P1 o con un 2FA Categoría 3 ó 4 en otro
servicio A313.F4 Para disminuir,
mismo servicio con FA Categoría 2 A315.P3 |
Seguridad en el envío de
Contraseñas y Números de Identificación Personal |
Transmisión
cifrada de Información Sensible del Usuario A316.B10.F1 |
Transmisión
cifrada de Información Sensible del Usuario A316.B10.F1 (Aplica A7T) |
Activación / Desactivación
Servicios |
No aplica |
No aplica |
c) Servicio
de Banca Telefónica Audio Respuesta y Banca Telefónica Voz a Voz
A=Artículo, P=Párrafo, B=Bis, F= Fracción,
T= Transitorio |
Concepto |
Banca Telefónica Audio Respuesta (IVR) |
Banca Telefónica Voz - Voz |
Resumen |
Servicios y
operaciones bancarias realizadas por el Usuario a través de un sistema
telefónico de audio respuesta (IVR)A1 Uso de un Segundo
Factor de Autenticación (2FA) para realizar Operaciones y Servicios bancarios A313.F1 |
Servicio mediante
el cual el Usuario instruye vía telefónica a un representante para realizar
operaciones a su nombre A1 La autenticación
se realiza mediante cuestionarios que incluyen información que el Usuario
conoce y la Institución valida A312.F1 |
Contratación |
A través de uno de
los siguientes: a) Con firma
autógrafa A307.F1 b) En otro
servicio utilizando un 2FA A307.F2.P1. Asimismo,
requiere confirmar la contratación utilizando un 2FA adicional en un periodo no
menor a 30 minutos A307.F2.P2 c) Centros de
atención telefónica, siempre y cuando las operaciones que se puedan realizar
no requieran un segundo factor de autenticación y sea para cuentas niveles 1
a 3 A307.F1.d) y
F3 Tratándose de los
servicios señalados en el artículo 307 fracción V, con cuentas originadoras
niveles 2 y 3, se permite la contratación con mecanismos de identificación
similares al utilizado para abrir la cuenta. A307.F5 Las cuentas de
nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones
monetarias. A307.F6 Se deben
establecer los mecanismos y procedimientos para la notificación de las
operaciones realizadas y servicios prestados A306.F1.c) |
A través de uno de
los siguientes: a) Con firma
autógrafa A307.F1 b) En otro
servicio utilizando un 2FA A307.F2.P1. Asimismo,
requiere confirmar la contratación utilizando un 2FA adicional en un periodo no
menor a 30 minutos A307.F2.P2 c) Centros de
atención telefónica, siempre y cuando las operaciones que se puedan realizar
no requieran un segundo factor de autenticación y sea para cuentas niveles 1
a 3 A307.F1.d) y
F3 Tratándose de los
servicios señalados en el artículo 307 fracción V, con cuentas originadoras niveles
2 y 3, se permite la contratación con mecanismos de identificación similares
al utilizado para abrir la cuenta. A307.F5 Las cuentas de
nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones
monetarias. A307.F6 Se deben establecer
los mecanismos y procedimientos para la notificación de las operaciones
realizadas y servicios prestados A306.F1.c) |
Identificador de Usuario |
Identificador
único de Usuario A308.P2 definido
por la Institución o por el propio Usuario de mínimo seis caracteres de
longitud A308.P3 |
Identificador
único de Usuario A308.P2 definido
por la Institución o por el propio Usuario de mínimo seis caracteres de
longitud A308.P3 |
Factores de Autenticación |
Factor 2:
Contraseñas o NIP de 6 dígitos A310.F2.b), más cualquiera de los siguientes: Factor 3:
Contraseñas de un solo uso (OTP) A310.F3.P1.
Se podrán usar tablas aleatorias de Contraseñas con características que
impidan su duplicación, información que no se pueda usar más de una vez y que
la información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y
deberán asumir el riesgo y los costos de operaciones no reconocidas,
abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T) , ó; Factor 4: Biométricos A310.F4.P1 |
Factor 1:
Información proporcionada a través de cuestionarios en centros de atención
telefónica A310.F1.P1 (Aplica A3T) Incluye
información parcial de los FA categorías 2 o 3,
proporcionada a operadores telefónicos, siempre que el usuario haya iniciado
la llamada y la información sea utilizada para realizar operaciones de este
servicio A316.B4.F3.P2 |
Impedir la lectura en pantalla de
la información de Autenticación |
Excepción, no se
requiere enmascarar A309.F1 |
No aplica |
Operaciones y uso de un 2FA
Categoría 3 (OTP) ó 4 (Biométrico) |
Operaciones
permitidas utilizando un 2FA A313.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A313.F1 b) Pago de impuestos A313.F2 c) Establecimiento e
incremento de límites de monto A313.F3 d) Registro de Cuentas
Destino A313.F4 e) Alta y modificación
del medio de notificación A313.F5 f) Consultas de estados
de cuenta A313.F6 g) Contratación de otro
servicio A313.F7 h) Desbloqueo de
Contraseñas o NIPs A313.F8 En el caso del
inciso a), se podrá requerir un Factor de Autenticación (FA) Categoría 2, 3 ó
4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma
autógrafa A313.F1.P2 En el caso del
inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2
cuando dichas consultas versen sobre operaciones de crédito y se realice la
notificación correspondiente A313.F6.P3 |
Operaciones
permitidas utilizando un FA Categoría 1 (Información en centros de atención
telefónica) A312.F1. Incluye información parcial de los FA categorías 2 o 3, proporcionada a operadores
telefónicos, siempre que el usuario haya iniciado la llamada y la información
sea utilizada para realizar operaciones de este servicio A316.B4.F3.P2. Requiere registro de cuentas
mediante firma autógrafa A313.P3 o en otro servicio con 2FA, Categorías 3 ó 4 A314.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A313.F1 b) Pago de impuestos A313.F2 c) Establecimiento e
incremento de límites de monto A313.F3 d) Alta y modificación
del medio de notificación A313.F5 e) Consultas de estados
de cuenta A313.F6 f) Contratación de otro
servicio (sólo Pago Móvil) A312.F2 g) Desbloqueo de
Contraseñas o NIPs A313.F8 |
Registro de Cuentas Destino |
Se requiere el registro de Cuentas Destino A314.P1, las cuales se habilitarán
treinta minutos posteriores a su registro A314.P5 Se pueden registrar en el mismo servicio
usando un 2FA Categorías 3 ó 4 A313.F4,
mediante firma autógrafa A313.F1.P2, o
en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4 Las Cuentas Destino registradas mediante
firma autógrafa podrán quedar habilitadas antes de los 30 minutos A314.P5 |
Se requiere el registro de Cuentas
Destino A314.P1, las cuales se habilitarán
treinta minutos posteriores a su registro A314.P5 No se pueden realizar registros de
cuentas en este servicio A314.P3 Se pueden registrar Cuentas Destino
mediante firma autógrafa A313.F1.P2 o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4 Las Cuentas Destino registradas mediante
firma autógrafa podrán quedar habilitadas antes de los 30 minutos A314.P5 |
Notificaciones |
Se deberá notificar por el medio de
comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1: a) Transferencias a
cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A316.B1.F1 b) Pago de impuestos A316.B1.F2 c) Alta y modificación de
límites de montos A316.B1.F3 d) Registro de Cuentas
Destino A316.B1.F4 e) Alta y modificación
del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5 f) Contratación de otro
servicio o modificación de condiciones en el uso A316.B1.F6 g) Desbloqueo de
Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7 h) Modificación de
Contraseñas y NIPs A316.B1.F8 |
Se deberá notificar por el medio de
comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1: a) Transferencias a
cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A316.B1.F1 b) Pago de impuestos A316.B1.F2 c) Ata y modificación de
límites de montos A316.B1.F3 d) Alta y modificación
del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5 e) Contratación de otro
servicio o modificación de condiciones en el uso A316.B1.F6 f) Desbloqueo de
Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7 |
Límites de monto operativos |
Límite definido por el Usuario sin
sobrepasar los límites establecidos por las disposiciones o por la misma
Institución A315.P6 |
Límite definido por el Usuario sin
sobrepasar los límites establecidos por las disposiciones o por la misma
Institución A315.P6 |
Controles para establecer límites de
monto aplicables al mismo canal o a otro |
Proveer lo necesario para que los
Usuarios establezcan límites de monto A315.P2. Para establecer o incrementar, se requiere
firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el
mismo servicio
o en otro A313.F4 Para disminuir, mismo servicio con FA
Categoría 2 A315.P3 |
Proveer lo necesario para que los
Usuarios establezcan límites de monto A315.P2. Para establecer o incrementar, se requiere
firma autógrafa A315.P1 , en el mismo servicio con un FA
categoría 1 A312.F1, con información parcial de un
FA categoría 2 o 3 A316.B4.F3.P2, ó con 2FA Categoría 3 ó 4 en
otro servicio A313.F4 Para disminuir, mismo servicio con FA
Categoría 1 A315.P3 |
Seguridad en el envío de Contraseñas y
Números de Identificación Personal |
Podrán implementar controles
compensatorios para proteger la transmisión de Información Sensible del Usuario A316.B10.F1.P4 |
Podrán implementar controles
compensatorios para proteger la transmisión de Información Sensible del Usuario A316.B10.F1.P4 |
Activación / Desactivación Servicios |
No aplica |
No aplica |
d) Banca Host to Host y otro servicio no
especificado en las Disposiciones
A=Artículo, P=Párrafo, B=Bis, F= Fracción,
T= Transitorio |
Concepto |
Banca Host to Host |
Otro Servicio |
Resumen |
Conexión directa entre equipos de cómputo
del Usuario y de la Institución, incluye aplicaciones conocidas como cliente-servidor A1 (Aplica A8T) Servicios utilizados por personas morales
o personas físicas con actividad empresarial Generalmente se utiliza para altos
volúmenes de operaciones |
Cualquier otro servicio de Banca
Electrónica no definido en las presentes Disposiciones |
Contratación |
A través de uno de los siguientes: a) Con firma autógrafa A307.F1 b) En otro servicio utilizando un Segundo
Factor de Autenticación (2FA) A307.F2.P1. Asimismo,
requiere confirmar utilizando un 2FA adicional en un periodo no menor a
30 minutos A307.F2.P2 Se deben establecer los mecanismos y
procedimientos para la notificación de las operaciones realizadas y servicios
prestados A306.F1.c) |
A través de uno de los siguientes: a) Con firma autógrafa A307.F1 b) En otro servicio utilizando un 2FA A307.F2.P1. Asimismo, requiere confirmar
utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2 Se deben establecer los mecanismos y
procedimientos para la notificación de las operaciones realizadas y servicios
prestados A306.F1.c) |
Identificador de Usuario |
Identificador único de Usuario A308.P2 definido
por la Institución o por el propio Usuario de mínimo seis caracteres de
longitud A308.P3 |
Identificador único de Usuario A308.P2 definido
por la Institución o por el Usuario de mínimo seis caracteres de longitud A308.P3 |
Factores de Autenticación |
Factor 2: Contraseña o NIP de 6 dígitos A310.F2.b), más cualquiera de los
siguientes: Factor 3: Contraseñas de un solo uso
(OTP) A310.F3.P1 o mecanismos para validar los equipos de
cómputo autorizados por la Institución A310.F3.P5. Se podrán usar tablas aleatorias de Contraseñas con
características que impidan su duplicación, información que no se pueda usar
más de una vez y que la información no sea conocida por personal de la
Institución o por terceros A310.F3.P6,
para ello requieren autorización A310.P6 y deberán asumir por escrito el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48
horas A310.P7 (Aplica
A5T), ó; Factor 4: Biométricos A310.F4.P1 |
Factor 2: Contraseñas o NIP de 6 dígitos A310.F2.b), más cualquiera de los
siguientes: Factor 3: Contraseñas de un solo uso
(OTP) A310.F3.P1. Se podrán usar tablas
aleatorias de Contraseñas con características que impidan su duplicación,
información que no se pueda usar más de una vez y que la información no sea
conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y
deberán asumir por escrito el
riesgo y los costos de operaciones
no reconocidas, abonando al
Usuario antes de 48 horas A310.P7 (Aplica A5T), ó; Factor 4: Biométricos A310.F4.P1 |
Impedir la lectura en pantalla de la
información de Autenticación |
Aplica A309.F1 |
Aplica A309.F1 |
Operaciones y uso de un 2FA Categoría 3
(OTP) ó 4 (Biométrico) |
Operaciones permitidas utilizando un 2FA A313.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A313.F1 b) Pago de impuestos A313.F2 c) Registro de Cuentas
Destino A313.F4 d) Alta y modificación
del medio de notificación A313.F5 e) Consultas de estados
de cuenta A313.F6 f) Contratación de otro
servicio A313.F7 g) Desbloqueo de
Contraseñas o NIPs A313.F8 En el caso del inciso a), se podrá
requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en
Oficinas Bancarias utilizando firma autógrafa A313.F1.P2 En el caso del inciso e), se podrán
consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas
consultas versen sobre operaciones de crédito y se realice la notificación
correspondiente A313.F6.P3 |
Operaciones permitidas utilizando un 2FA A313.P1: a) Transferencias a
cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y
bienes o servicios, así como autorizaciones e instrucciones de domiciliación
de pagos de bienes o servicios A313.F1 b) Pago de impuestos A313.F2 c) Registro de Cuentas
Destino A313.F4 d) Alta y modificación
del medio de notificación A313.F5 e) Consultas de estados
de cuenta A313.F6 f) Contratación de otro
servicio A313.F7 g) Desbloqueo de
Contraseñas o NIPs A313.F8 En el caso del inciso a), se podrá
requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en
Oficinas Bancarias utilizando firma autógrafa A313.F1.P2 En el caso del inciso e), se podrán
consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas
consultas versen sobre operaciones de crédito y se realice la notificación
correspondiente A313.F6.P3 |
Registro de Cuentas Destino |
No requiere registro de Cuentas Destino A314.P8 |
Se requiere el registro de Cuentas Destino A314.P1, las cuales se habilitarán treinta
minutos posteriores a su registro A314.P5 Se pueden registrar en el mismo servicio usando un 2FA
Categorías 3 ó 4 A313.F4, mediante firma autógrafa A313.F1.P2, o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4 Las Cuentas Destino registradas mediante firma autógrafa podrán
quedar habilitadas antes de los 30 minutos A314.P5 En el caso de personas morales y personas físicas con actividad
empresarial, se podrá permitir el registro de un conjunto de Cuentas Destino
considerándolo como una sola operación A314.P4 |
Notificaciones |
No aplica A316.B1.P5 |
Se deberá
notificar por el medio de comunicación proporcionado por el Usuario, en su
caso, los siguientes eventos A316.B1.P1: a) Transferencias a cuentas
de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o
servicios, así como autorizaciones e instrucciones de domiciliación de pagos
de bienes o servicios A316.B1.F1 b) Pago de impuestos A316.B1.F2 c) Modificación de
límites de montos A316.B1.F3 d) Registro de Cuentas
Destino A316.B1.F4 e) Alta y modificación
del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5 f) Contratación de otro
servicio o modificación de condiciones en el uso A316.B1.F6 g) Desbloqueo de
Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7 h) Modificación de
Contraseñas y NIPs A316.B1.F8 |
Límites de monto operativos |
No aplica |
No aplica |
Controles para establecer límites
de monto aplicables al mismo canal o a otro |
Para establecer o
incrementar, se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo
servicio o
en otro A313.F4 Para disminuir,
mismo servicio con FA Categoría 2 A315.P3 |
Para establecer o
incrementar, se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo
servicio o
en otro A313.F4 Para disminuir,
mismo servicio con FA Categoría 2 A315.P3 |
Seguridad en el envío de
Contraseñas y Números de Identificación Personal |
Transmisión
cifrada de Información Sensible del Usuario A316.B10.F1 |
Transmisión
cifrada de Información Sensible del Usuario A316.B10.F1 |
Activación / Desactivación
Servicios |
No aplica |
No aplica |
II. GENERALES
Disposición |
Detalle |
Definición Factores de
Autenticación |
Mecanismo
de autenticación, basado en características del Usuario, dispositivos o
información que sólo el Usuario posea o conozca A1 Factor 1: Información
proporcionada mediante la aplicación de cuestionarios en centros de atención
telefónica A1) Factor 2: Información que sólo
el Usuario conoce, tales como: Contraseñas y Números de Identificación
Personal A1 Factor 3: Información que sólo
el usuario tiene, tales como generadores de contraseñas de un solo uso (OTP)
“Tokens” o Tarjetas Bancarias con Circuito Integrado A1 Factor 4: Información
biométrica. Huellas digitales, geometría de la mano A1 |
Operaciones Monetarias |
Transacción
que implique transferencias de recursos dinerarios, las cuales podrán ser A1: Micropagos: 70 UDIs A1 Baja Cuantía: 250 UDIs diarias A1 Mediana Cuantía: 1,500 UDIs diarias A1 Montos superiores a 1,500 UDIs diarias A1 |
Comprobantes |
Se deberá
emitir un comprobante de cada una de las operaciones realizadas A316.B |
Sesiones Seguras |
La Sesión
debe terminarse en forma automática cuando se detecte A316.B2.F1: -- Inactividad del
Usuario por más de veinte minutos A316.B2.F1.a) -- Cuando existan
cambios relevantes en la conexión del servicio de Banca por Internet A316.B2.F1.b) Deben
evitarse sesiones simultáneas A316.B2.F2 y se debe advertir al
Usuario en caso de enlaces a servicios de terceros A316.B2.F3 |
Equipos Electrónicos o
de Telecomunicaciones Dispuestos por la Institución |
Adoptar
medidas que impidan la instalación de dispositivos o programas que permitan
que la información del Usuario sea copiada o modificada por terceros A316.B6.F1 Contar
con procedimientos que permitan correlacionar la información de las
operaciones no reconocidas por los clientes con la operativa de los equipos y
del personal que los administra A316.B6.F2 (Aplica A2T) |
Base de Datos
Operaciones no Reconocidas |
Deberán mantener
bases de datos con información de incidencias, fallas y vulnerabilidades, así
como operaciones no reconocidas por los Usuarios A316.B14 |
Centros de Atención
Telefónica |
Los
centros de atención telefónica deberán mantener controles de seguridad física
y lógica para evitar que la información de los clientes pueda ser extraída o
copiada A316.B7.F1, delimitar funciones de
operadores A316.B7.F2 y evitar el uso de medios diferentes a los
autorizados A316.B7.F3 |
Cifrado |
En la
transmisión y almacenamiento de Información Sensible del Usuario, deberán
utilizarse mecanismos de Cifrado con llaves criptográficas A316.B10.F1. Adicionalmente, las
llaves criptográficas y el proceso de Cifrado y descifrado deberán estar
instalados en dispositivos de alta seguridad (HSM) A316.B10.F4 |
Reporte de eventos de
pérdida de información |
En caso
de que la Información Sensible del Usuario sea extraída, extraviada o se
sospeche de algún incidente de acceso no autorizado, deberán A316.B12: -- Dar aviso por
escrito a esta Comisión en cinco días naturales A316.B12.F1 -- Realizar una
investigación, enviando los resultados a esta Comisión a los cinco días
naturales de concluida y notificar a los Usuarios afectados, en su caso A316.B12.F2 |
Prevención de Fraudes |
Deberán
mantener mecanismos de control para detección de eventos que se aparten de
los parámetros de uso habitual de los Usuarios A316.B13 |
Bitácoras |
Deberán
mantener registros, bitácoras, huellas de auditoría y grabaciones de voz
relativos a A316.B15.F1: -- Accesos a los
Medios Electrónicos A316.B15.F1.a) -- Datos de las
operaciones realizadas (fechas, horas, dispositivos de acceso) A316.B15.F1.b) y c) Deberán
mantener controles para que la información registrada en los equipos críticos
de cómputo y telecomunicaciones utilizados en las operaciones de Banca
Electrónica sea consistente. A316.B15.F2 |
Revisiones de Seguridad |
Anualmente,
deberán realizar revisiones de seguridad que comprendan A316.B17: -- Mecanismos de
Autenticación
A316.B17.F1 -- Configuración y
control de acceso de la Infraestructura de Cómputo y Telecomunicaciones A316.B17.F2 -- Actualizaciones
de software (parches) A316.B17.F3 -- Análisis de
vulnerabilidades A316.B17.F4 -- Identificación
de modificaciones al software original A316.B17.F5 -- Infraestructura tecnológica, sistemas y
procesos asociados a os Medios Electrónicos A316.B17.F6 -- Análisis
metódico de aplicativos críticos relacionados con servicios de Banca
Electrónica A316.B17.F7 Adicionalmente,
deberán mantener esquemas de monitoreo permanente A316.B17.P4 |
Acciones correctivas |
Deberán implementar
las acciones correctivas que la Comisión les requiera, como resultado de la
identificación de riesgos asociados con el uso de los servicios de Banca
Electrónica A316.B21 |
Medidas preventivas y
detección |
La Dirección General deberá asegurar que la Institución cuenta con
medidas preventivas, de detección, disuasivas y procedimientos de respuesta a
incidentes de seguridad, controles y medidas de seguridad informática para
mitigar amenazas, vulnerabilidades derivadas del uso de la Banca Electrónica
y que puedan afectar las operaciones de la Institución A316.B20 |
Acciones contingentes |
La Comisión podrá autorizar que las Instituciones realicen
operaciones en términos distintos a los establecidos en las Disposiciones en
caso de catástrofes naturales o situaciones que afecten la adecuada oferta a
nivel nacional de operaciones o servicios bancarios que justifiquen el uso
masivo de los Medios Electrónicos en forma temporal A316.B22 |