Resolución que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito.

Viernes 12 de agosto de 2011

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.

La Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno, con fundamento en lo dispuesto por los Artículos 46 Bis 1, 46 Bis 2, 52 y 97 de la Ley de Instituciones de Crédito, así como 4, fracciones I y XXXVI, 12, fracción XV, 16, fracciones I, VII y XVI, y 19 de la Ley de la Comisión Nacional Bancaria y de Valores, previa aprobación de su Junta de Gobierno, y

CONSIDERANDO

Que con fecha 16 de junio de 2010 se publicó en el Diario Oficial de la Federación (DOF) la “Resolución que reforma y adiciona las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito”, emitida por la Secretaría de Hacienda y Crédito Público (SHCP), la cual tuvo por objeto establecer que las instituciones de crédito deben abstenerse de celebrar operaciones de compra de dólares de los Estados Unidos de América (EE.UU.A.) en efectivo, así como de recibir depósitos, pago de créditos y pago de servicios en dólares en efectivo, con sus clientes o usuarios, cuando tales operaciones importen una cantidad específica;

Que el 9 de septiembre de 2010, la SHCP publicó en el DOF la “Resolución que reforma y adiciona las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito”, con la finalidad de implementar medidas complementarias con el objeto de realizar adecuaciones a la infraestructura bancaria, particularmente en la zona de la franja fronteriza norte y en municipios o delegaciones en los que económicamente se justifica la recepción de dólares en efectivo, en función del alto flujo de personas físicas extranjeras y de que la derrama de ingresos de dichas personas sea significativa respecto de la actividad económica del municipio o delegación de que se trate, así como de permitir el desarrollo de operaciones en las que las instituciones de crédito adquieran dólares de los EE.UU.A., a través de comisionistas bancarios;

Que consecuentemente, con fecha 9 de septiembre de 2010, esta Comisión Nacional Bancaria y de Valores (CNBV) publicó en el DOF la “Resolución que modifica las Disposiciones de carácter general aplicables a instituciones de crédito” con el objeto de modificar la regulación aplicable a las instituciones de crédito en materia de contratación con terceros de servicios o comisiones, para establecer el régimen al cual deberán sujetarse las instituciones en la realización de operaciones de compra y venta de dólares de los EE.UU.A., a través de sus comisionistas, con motivo de las resoluciones emitidas por la SHCP;

Que el 20 de diciembre de 2010, la SHCP publicó en el DOF la “Resolución que reforma y adiciona las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito”, con el objeto de realizar ajustes al marco regulatorio a fin de permitir el desarrollo de operaciones en las que las instituciones de crédito adquieran dólares de los Estados Unidos de América modificando los límites para realizar operaciones cambiarias;

Que derivado de lo anterior, el propio 20 de diciembre de 2010 esta CNBV publicó en el DOF la “Resolución que modifica las Disposiciones de carácter general aplicables a las  instituciones de crédito” con el objeto de modificar el límite aplicable a operaciones de compra de dólares de los EE.UU.A, en función del tipo de comisionistas de que se trate para la adquisición de productos o servicios comercializados por el propio comisionista, así como de simplificar los requisitos de los comprobantes de operación y los requerimientos de información solicitados por las instituciones de crédito comitentes con las que operan;

Que a raíz de la entrada en vigor de la regulación antes mencionada, se ha identificado que existe un grupo de distintos representantes de sectores económicos que carecen de las capacidades tecnológicas y económicas para realizar la inversiones necesarias en sistemas y procesos operativos que permitan la emisión de comprobantes de forma automatizada, por lo que han manifestado su preocupación respecto del impacto que la regulación en materia de comisionistas cambiarios ha tenido sobre sus operaciones comerciales;

Que a efecto de contribuir a que no se vea afectada la actividad económica de los  establecimientos comerciales ubicados en municipios o delegaciones en los que económicamente se justifique que sean receptores de dólares en efectivo, en función del alto flujo de personas físicas extranjeras y la derrama de ingresos de dichas personas sea significativa respecto de la actividad económica del municipio o delegación de que se trate;

Que el Banco de México con fecha 17 de junio de 2011 emitió la Circular número 14/2011 y el 7 de julio del mismo año la diversa 1/2006 BIS 41, dirigidas a las instituciones de banca múltiple y de banca de desarrollo, respectivamente, con la finalidad de clasificar los productos de captación bancaria a la vista con base en los límites para los depósitos mensuales, y

Que con esta misma fecha la Secretaría de Hacienda y Crédito Público reformó las “Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito”, con la finalidad de modificar los requisitos de apertura asociados a cada uno de los productos de captación bancaria, resulta necesario modificar el régimen aplicable a las instituciones de crédito en la contratación de terceros, a fin de ser consistentes con la regulación vigente, por lo que ha resuelto expedir la siguiente:

RESOLUCION QUE MODIFICA LAS DISPOSICIONES DE CARACTER GENERAL APLICABLES A LAS INSTITUCIONES DE CREDITO

UNICA.- Se ADICIONAN un inciso d) a la fracción I, un último párrafo a la fracción V y una fracción VI al Artículo 307; un segundo párrafo a la fracción I del Artículo 320; un segundo párrafo a las fracciones I, III y VI del Artículo 324, así como una fracción XIII a dicho Artículo 324; se REFORMAN las fracciones XL y CXXXIX del Artículo 1, las fracciones I, inciso b), III y V, primer párrafo e inciso b), del Artículo 307; el segundo párrafo de las fracciones I y II del Artículo 318; las fracciones I, II, III, IV, V, VI, VIII, X y XI, segundo párrafo, del Artículo 319; la fracción IV del Artículo 320; el segundo párrafo de la fracción I del Artículo 322; los párrafos segundo y cuarto del Artículo 323; la fracción V del Artículo 324; el segundo párrafo del Artículo 329; el Artículo 331, así como los párrafos primero y segundo del Artículo 333; se DEROGAN las fracciones IV, XXXVIII y XXXIX del Artículo 1, recorriéndose la numeración de las fracciones de dicho artículo, cada una en su orden y según corresponda, los incisos a), c) y d) de la fracción XI del Artículo 319, la fracción XI del Artículo 320; la fracción VII del Artículo 322; así como los Artículos 325 Bis a 325 Bis 5 que integran la Sección Segunda Bis del Capítulo XI del Título Quinto, y se SUSTITUYEN el Reporte Regulatorio “R26 Información por comisionista” del Anexo 36, los Anexos 52, 58 y 63 de las “Disposiciones de carácter general aplicables a las instituciones de crédito”, publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005, modificadas mediante Resoluciones publicadas en el citado Diario Oficial el 3 y 28 de marzo, 15 de septiembre, 6 y 8 de diciembre de 2006, 12 de enero, 23 de marzo, 26 de abril, 5 de noviembre de 2007, 10 de marzo, 22 de agosto, 19 de septiembre, 14 de octubre, 4 de diciembre de 2008, 27 de abril, 28 de mayo, 11 de junio, 12 de agosto, 16 de octubre, 9 de noviembre, 1 y 24 de diciembre de 2009, 27 de enero, 10 de febrero, 9 y 15 de abril, 17 de mayo, 28 de junio, 29 de julio, 19 de agosto, 9 y 28 de septiembre, 25 de octubre, 26 de noviembre y 20 de diciembre de 2010, 24 y 27 de enero, 4 de marzo de 2011, 21 de abril de 2011, 5 de julio de 2011 y 3 de agosto de 2011, para quedar como sigue:

“Artículo 1.-

I. a III.

IV.     Se deroga.

V. a XXXVII.

XXXVIII.     Se deroga.

XXXIX.       Se deroga.

XL.             Cuentas Bancarias: a las cuentas bancarias a la vista a que se refieren los numerales M.11.11.1 y BD.11.21., de las Circulares 2019/95 y 1/2006, respectivamente, emitidas por el Banco de México.

                   Dichas cuentas podrán ser de “Nivel 1”, “Nivel 2”, “Nivel 3” o “Nivel 4” en términos de lo establecido por las citadas Circulares 2019/95 y 1/2006.

XLI. a CXXXVIII.

CXXXIX.    Tarjeta Bancaria con Circuito Integrado: a las tarjetas de débito o crédito o con un circuito integrado o chip, que pueda almacenar información y procesarla con el fin de verificar, mediante procedimientos criptográficos, que la tarjeta y la terminal donde se utiliza son válidas.

CXL. a CL. …”

“Artículo 307.- …

I.       

a)   

b)    Aquellos ofrecidos a través de Cajeros Automáticos y Terminales Punto de Venta, cuando estos se refieran exclusivamente a la operación de Cuentas Bancarias de los Niveles 1 a 3.

c)    

d)    Banca Móvil, Banca por Internet, Banca Telefónica Audio Respuesta y Banca Telefónica Voz a Voz, cuando estén asociados a Cuentas Bancarias de Niveles 1 a 3, según corresponda, y sean para realizar operaciones diferentes a las previstas en el Artículo 313 de las presentes disposiciones.

II.

III.      Tratándose de los servicios mencionados en los incisos a) y d) de la fracción I anterior, la contratación podrá llevarse a cabo de conformidad con las fracciones I y II anteriores, o bien, a través de los centros de atención telefónica de las propias Instituciones, sujetándose a lo señalado en el Artículo 310 fracción I de estas disposiciones. En todo caso, para el servicio de Pago Móvil, las Instituciones deberán establecer controles que impidan lo siguiente:

          a) y b)

         

IV.

V.      Podrán permitir la contratación del servicio de Banca por Internet, mediante firmas electrónicas avanzadas o fiables de sus clientes, a fin de que estos realicen operaciones entre la cuenta registrada a su nombre en la Institución, como cuenta originadora, y otra cuenta en otra Institución cuyo titular sea el propio cliente, como Cuenta Destino. Será responsabilidad de la Institución que permita la contratación del servicio de Banca por Internet en términos de lo previsto en esta fracción, verificar que la cuenta en otra Institución para realizar las operaciones previstas en la presente fracción se encuentre registrada a nombre del propio cliente.

a)   

b)    Para realizar transferencias de recursos dinerarios o instrucciones de cargo entre la cuenta originadora registrada en la Institución y la Cuenta Destino a que se refiere el párrafo anterior, las Instituciones deberán requerir a sus Usuarios un Factor de Autenticación Categoría 2 a que se refiere el Artículo 310 de estas disposiciones, sin que le sea aplicable el primer párrafo del Artículo 313 de las presentes disposiciones, debiendo contemplar, en todo caso, controles que aseguren que es el Usuario quien está instruyendo a la Institución, y

c)    

        Para la contratación de los servicios de Banca por Internet, Banca Telefónica  Audio Respuesta o Banca Telefónica Voz a Voz relacionados con Cuentas Bancarias de Niveles 2 y 3 u otras con los mismos niveles transaccionales, como cuentas originadoras, a fin de realizar las operaciones descritas en esta fracción, las Instituciones podrán utilizar mecanismos de identificación similares a los requeridos para la apertura de dicha cuenta originadora.

VI.     Tratándose de las Cuentas Bancarias de Nivel 1, dichas cuentas no podrán asociarse a servicios de Banca Electrónica para realizar Operaciones Monetarias, exceptuándose aquellos servicios ofrecidos a través de Cajeros Automáticos y Terminales Punto de Venta. En el caso de las operaciones que se realicen a través de Terminales Punto de Venta, estas solo podrán efectuarse cuando el Usuario presente la tarjeta de débito de que se trate en el Establecimiento.

“Artículo 318.- …

I.       

          Asimismo, en ningún caso, dichos comisionistas podrán llevar a cabo aprobaciones y aperturas de cuentas de operaciones activas, pasivas y de servicios, salvo que se trate de operaciones de las previstas por el Artículo 319, fracciones IX y X de las presentes disposiciones.

II.       ...

          Tratándose de las comisiones a que se refiere la Sección Segunda de este capítulo, los criterios orientados a evaluar la experiencia y capacidad técnica del tercero, deberán apegarse a lo dispuesto por el Anexo 57 de las presentes disposiciones.

III. a VII.

…”

Sección Segunda

De la contratación con terceros de comisiones que tengan por objeto la captación de recursos del público y otras operaciones bancarias fuera de las oficinas bancarias

“Artículo 319.-

I.        Pagos de servicios en efectivo, con cargo a tarjetas de crédito o de débito, o bien, con cheques librados para tales fines a cargo de la Institución comitente.

II.       Retiros de efectivo efectuados por el propio cliente titular de la cuenta respectiva, o por las personas autorizadas en términos del primer párrafo del Artículo 57 de la Ley.

III.      Depósitos en efectivo o con cheque librado a cargo de la Institución comitente, en cuentas propias o de terceros.

IV.     Pagos de créditos a favor de la propia Institución o de otra en efectivo, con cargo a tarjetas de crédito o de débito, incluyendo el cobro de cheques para tales fines.

V.      Situaciones de fondos para pago en las oficinas bancarias de las Instituciones comitentes, o bien, a través de los propios comisionistas, así como transferencias entre cuentas, incluso a cuentas de otras Instituciones.

VI.     Poner en circulación cualquier medio de pago de los referidos en la fracción XXVI Bis del Artículo 46 de la Ley.

VII.   

VIII.   Consultas de saldos y movimientos de cuentas y medios de pago autorizados por el Banco de México.

IX.    

X.      Realizar la apertura de Cuentas Bancarias de Niveles 1, 2 y 3, así como de cuentas de administración de valores con clientes que sean personas físicas cuya operación se encuentre limitada a niveles transaccionales inferiores al equivalente a tres mil UDIs por cliente y por Institución, o bien, con personas físicas y morales cuya operación se encuentre limitada a niveles transaccionales inferiores al equivalente a diez mil UDIs por cliente y por Institución.

          En todo caso, la Institución deberá contar en tiempo real con la información relativa a los clientes que abran estas cuentas con el comisionista, sin perjuicio del cumplimiento de las demás obligaciones previstas en las “Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito”, emitidas por la Secretaría de Hacienda y Crédito Público y publicadas el 20 de abril de 2009 en el Diario Oficial de la Federación, o las que las sustituyan.

XI.     ...

          En la realización de las operaciones a que se refiere esta fracción, no será aplicable lo dispuesto por el Anexo 58 de estas disposiciones ni se encontrarán obligadas a emitir un comprobante de operación a sus clientes. No obstante lo anterior, las Instituciones deberán contar con los mecanismos necesarios para registrar y dar seguimiento a la transaccionalidad diaria que operen a través de cada uno de sus comisionistas.  En todo caso, el mecanismo de control a que se refiere el presente párrafo deberá contener los elementos necesarios que les permitan a las Instituciones realizar auditorías para verificar el cumplimiento de lo señalado por la fracción III del Artículo 323 de las presentes disposiciones.

a)    Se deroga.

b)    Derogado.

c)     Se deroga.

d)    Se deroga.

...

...

...

...

...

…”

“Artículo 320.- …

I.        ...

          Tratándose de operaciones realizadas a través de Administradores de Comisionistas, las Instituciones deberán establecer que corresponderá a estos últimos acreditar, en su carácter de apoderados, el cumplimiento de los requisitos señalados en las fracciones II, IV, V y VI del Artículo 318 respecto de las operaciones que efectúen los comisionistas que administren.

II. y III. ...

IV      La descripción de los Medios Electrónicos que utilizarán las Instituciones para garantizar la correcta ejecución de las operaciones bancarias y de seguridad de la información de los clientes bancarios y del público en general, para lo cual deberán cumplir con los requerimientos técnicos para la operación de Medios Electrónicos a que se refiere el Anexo 58 de las presentes disposiciones, salvo tratándose de las operaciones a que se refiere la fracción XI del Artículo 319.

V. a X. ….

XI.     Se deroga.

…”

“Artículo 322.- …

I.       

          En todo caso, la cuenta de depósito a la vista deberá ser cargada o abonada, en función de la naturaleza de la transacción que el comisionista celebre con el cliente bancario y con el público en general, transfiriendo en línea los recursos a, o de la cuenta de este último o bien a las cuentas propias de la Institución, según sea el caso, para los efectos solicitados, salvo tratándose de las operaciones a que se refiere la fracción XI del Artículo 319.

         

         

         

         

         

II. a VI.

VII.    Se deroga.

Artículo 323.- …

I. a III.

Las Instituciones deberán cerciorarse a través de sistemas informáticos y controles automatizados, salvo tratándose de las operaciones a que se refiere la fracción III de este artículo para cuyo seguimiento podrán utilizarse medios diversos, que los comisionistas con los que contraten no excedan los límites a que se refiere este artículo. En tal virtud, las Instituciones deberán establecer los mecanismos necesarios, para que los referidos comisionistas remitan a los clientes de las Instituciones y al público en general, a las oficinas bancarias de éstas para la realización de operaciones, una vez que los límites a que se refiere el presente artículo se actualicen.

En adición a los límites previstos por el presente artículo, las Instituciones deberán sujetarse a los términos y condiciones que para la operación de las Cuentas Bancarias establezca el Banco de México.

Artículo 324.- …

I.        ...

          Tratándose de operaciones que se celebren a través de Administradores de Comisionistas, las Instituciones deberán prever en los contratos de comisión mercantil, las operaciones que el Administrador de Comisionistas contratará a nombre de la Institución con los comisionistas que éste administrará, así como, en su caso, las operaciones y servicios que, en adición a las previstas por la fracción X del Artículo 319 de las presentes disposiciones, realizará el propio Administrador de Comisionistas.

II.      

III.     

          Tratándose de operaciones que se celebren a través de Administradores de Comisionistas, las Instituciones deberán prever en los contratos de comisión mercantil, la obligación solidaria del Administrador de Comisionistas respecto del cumplimiento por parte de los comisionistas bancarios sujetos a su administración de lo dispuesto en la fracción I del Artículo 322 de las presentes disposiciones.

IV.    

V.      Las sanciones y, en su caso, penas convencionales por los incumplimientos al contrato, incluyendo lo dispuesto por los artículos 330 y 331 de las presentes disposiciones.

VI.    

          Tratándose de operaciones que se celebren a través de Administradores de Comisionistas, las Instituciones deberán prever en los contratos de comisión mercantil, la obligación a cargo del citado administrador de acreditar el cumplimiento de los requisitos señalados en las fracciones II, IV, V y VI del Artículo 318 respecto de las operaciones que efectúen con sus comisionistas administrados.

VII. a XII.

XIII.   Tratándose de las operaciones a que se refiere la fracción X del Artículo 319 de las presentes disposiciones, la obligación del comisionista o, en su caso, del Administrador de Comisionistas para recabar del cliente la información necesaria a fin de dar cumplimiento a lo previsto en el Artículo 115 de la Ley y las disposiciones que de dicho precepto emanen.

          Para ello, los citados comisionistas o, en su caso, Administradores de Comisionistas deberán transmitir en tiempo y forma a la Institución la información relativa a las mencionadas operaciones, según el nivel de la Cuenta Bancaria que corresponda, a fin de que la propia Institución dé cumplimiento al citado Artículo 115 de la Ley y las disposiciones que emanen del mismo.

…”

Sección Segunda Bis.- Se deroga.

Artículo 325 Bis.- Se deroga.

Artículo 325 Bis 1.- Se deroga.

Artículo 325 Bis 2.- Se deroga.

Artículo 325 Bis 3.- Se deroga.

Artículo 325 Bis 4.- Se deroga.

Artículo 325 Bis 5.- Se deroga.

“Artículo 329.- ...

El director general de la Institución de que se trate, será responsable de dar seguimiento a la aplicación de las políticas a que se refiere el Artículo 318, fracción VII, de rendir ante la Comisión el informe anual previsto en el Artículo 320, así como de presentar el aviso señalado en el Artículo 326, todos de estas disposiciones.

...

...”

“Artículo 331.- Las Instituciones se abstendrán de proporcionar el servicio a través del tercero o comisionista de que se trate, cuando dichas Instituciones adviertan cambios en la operación de los terceros o comisionistas, que puedan afectar cualitativa o cuantitativamente las condiciones de la contratación, o bien, cuando adviertan incumplimiento por parte de éstos a la normatividad aplicable. La Institución de que se trate deberá informar a la Comisión lo anterior, dentro de los cinco días hábiles siguientes a la suspensión del servicio, cuando dichos servicios o comisiones sean de los citados en la Sección Segunda de este capítulo.

Tratándose de los servicios o comisiones referidos en la Sección Segunda de este capítulo, las Instituciones deberán informar a la Comisión respecto de cualquier reforma al objeto social o a la organización interna del tercero o comisionista que pudiera afectar la prestación del servicio objeto de la contratación, dentro de los cinco días hábiles siguientes a la recepción de la notificación a que se refiere el inciso d) de la fracción III del Artículo 318 de las presentes disposiciones.

“Artículo 333.- Las Instituciones deberán contar con un padrón que contenga el tipo de servicios y operaciones contratadas y datos generales de los prestadores de servicios o comisionistas, distinguiendo aquéllos que cuentan con residencia en el territorio nacional o en el extranjero. Tratándose de las operaciones a que se refiere la Sección Segunda del presente capítulo, las Instituciones deberán señalar en el padrón a que se refiere el presente artículo, los módulos o establecimientos de los prestadores de servicios o comisionistas que tengan habilitados para representar a las propias Instituciones con sus clientes y con el público en general. Dicho padrón deberá estar a disposición de la Comisión para su consulta.

Asimismo, las Instituciones deberán difundir a través de su página electrónica en la red mundial denominada “Internet” el listado de los módulos o establecimientos que los comisionistas tengan habilitados para realizar las operaciones referidas en la Sección Segunda del presente capítulo, especificando las operaciones que se pueden realizar en cada uno de ellos.

...”

TRANSITORIOS

PRIMERO.- La presente Resolución entrará en vigor el 15 de agosto de 2011.

SEGUNDO.- Las instituciones de crédito en la realización de las operaciones de apertura de Cuentas Bancarias de Niveles 2, tendrán un plazo de 18 meses, contado a partir de la entrada en vigor de la presente Resolución, para ajustarse a lo dispuesto en el segundo párrafo de la fracción X del Artículo 319, así como en el segundo párrafo de la fracción XIII del Artículo 324 de las Disposiciones de carácter general aplicables a las instituciones de crédito, que se adiciona mediante la presente Resolución.

Una vez concluido el plazo referido en el párrafo anterior, las instituciones de crédito que no den cumplimiento a lo dispuesto por el segundo párrafo del Artículo 324 de las Disposiciones de carácter general aplicables a las instituciones de crédito, la Comisión procederá a sancionar dicho incumplimiento en términos de la Ley de Instituciones de Crédito.

Atentamente,

México, D.F., a 11 de agosto de 2011.- El Presidente de la Comisión Nacional Bancaria y de Valores, Guillermo Enrique Babatz Torres.- Rúbrica.

ANEXO 36

REPORTES REGULATORIOS DE BANCA MULTIPLE Y BANCA DE DESARROLLO

Indice ...

Serie R01 a Serie R24

R26 INFORMACION POR COMISIONISTA

R26 REPORTE DE INFORMACION POR COMISIONISTA

El reporte regulatorio R26 Información por Comisionista recaba información relacionada con los comisionistas, sus módulos o establecimientos, así como las operaciones realizadas que tengan por objeto la captación de recursos del público en general y operaciones bancarias fuera de las oficinas bancarias que realice por cuenta y a nombre de la institución (tanto en monto cómo en número), así como la información relacionada a los contratos con administradores de comisionistas que realicen operaciones de Cuentas Bancarias de Nivel 1 a 4.

El formulario R26 Información por Comisionista se integra por cuatro formularios, cuya frecuencia de elaboración y presentación es mensual, los cuales se definen a continuación:

R26 A 2610

Altas y Bajas de Administradores de Comisionistas

En este formulario se solicita información referente a los movimientos de altas y/o bajas de Administradores de Comisionistas que tengan por objeto la operación de Cuentas Bancarias.

R26 A 2611

Altas y Bajas de Comisionistas

En este formulario se solicita información referente a los movimientos de altas y/o bajas de los Comisionistas que tengan por objeto la captación de recursos del público y otras operaciones bancarias fuera de las oficinas bancarias. Asimismo, se dan de alta las operaciones que el comisionista o corresponsal cambiario tenga con el banco por lo que también se utilizará este formulario para dar de alta o baja las operaciones de compra-venta de dólares.

R26 B 2612

Altas y Bajas de Módulos o Establecimientos de Comisionistas

En este formulario se solicita información referente a los módulos o establecimientos de los prestadores de servicios o comisionistas que tengan habilitados para representar a las propias instituciones con sus clientes y con el público en general, reportando a la CNBV los movimientos de altas y/o bajas de dichos módulos o establecimientos.

R26 C 2613

Seguimiento de Operaciones de Comisionistas

En este formulario se presenta información referente a las operaciones (tanto en monto como en número), de cada módulo o establecimiento realizadas por el comisionista durante el periodo que se reporta; clasificando dichas operaciones por el tipo de servicio prestado y por el medio de pago utilizado.

 

FORMULARIO R26 A 2610 ALTAS Y BAJAS DE ADMINISTRADORES DE COMISIONISTAS

INFORMACION SOLICITADA

SECCION IDENTIFICADOR DEL FORMULARIO

PERIODO QUE SE REPORTA

CLAVE DE LA ENTIDAD

CLAVE DEL FORMULARIO

SECCION DE IDENTIFICACION DEL ADMINISTRADOR

TIPO DE MOVIMIENTO (ALTA O BAJA DEL ADMINISTRADOR) (Catálogo CNBV)

IDENTIFICADOR DEL ADMINISTRADOR

NOMBRE DEL ADMINISTRADOR

RFC DEL ADMINISTRADOR

PERSONALIDAD JURIDICA DEL ADMINISTRADOR (Catálogo CNBV)

SECCION DE BAJAS

CAUSA DE LA BAJA DEL ADMINISTRADOR (Catálogo CNBV)

 

FORMULARIO R26 A 2611 DESAGREGADO DE ALTAS Y BAJAS DE COMISIONISTAS

INFORMACION SOLICITADA

SECCION IDENTIFICADOR DEL FORMULARIO

PERIODO QUE SE REPORTA

CLAVE DE LA ENTIDAD

CLAVE DEL FORMULARIO

SECCION IDENTIFICADOR DEL ADMINISTRADOR

OPERACIONES CON ADMINISTRADORES

IDENTIFICADOR DEL ADMINISTRADOR

RFC DEL ADMINISTRADOR

SECCION DE IDENTIFICACION DEL COMISIONISTA

TIPO DE MOVIMIENTO (ALTA, BAJA O ACTUALIZACION DEL COMISIONISTA) (Catálogo CNBV)

IDENTIFICADOR DEL COMISIONISTA

NOMBRE DEL COMISIONISTA

RFC DEL COMISIONISTA

PERSONALIDAD JURIDICA DEL COMISIONISTA (FISICA O MORAL) (Catálogo CNBV)

ACTIVIDAD DEL COMISIONISTA (Catálogo CNBV)

SECCION OPERACIONES CONTRATADAS POR EL COMISIONISTA

OPERACIONES CONTRATADAS (Catálogo CNBV)

SECCION DE BAJAS

CAUSA DE LA BAJA DEL COMISIONISTA (Catálogo CNBV)

 

FORMULARIO R26 B 2612 DESAGREGADO DE ALTAS Y BAJAS DE MODULOS O ESTABLECIMIENTOS DE COMISIONISTAS

INFORMACION SOLICITADA

SECCION IDENTIFICADOR DEL FORMULARIO

PERIODO QUE SE REPORTA

CLAVE DE LA ENTIDAD

CLAVE DEL FORMULARIO

SECCION IDENTIFICADOR DEL COMISIONISTA

IDENTIFICADOR DEL COMISIONISTA

RFC DEL COMISIONISTA

SECCION IDENTIFICADOR DEL MODULO O ESTABLECIMIENTO

TIPO DE MOVIMIENTO (ALTA Y/O BAJA DEL MODULO O ESTABLECIMIENTO)

CLAVE DEL MODULO O ESTABLECIMIENTO

LOCALIDAD DEL MODULO O ESTABLECIMIENTO

SECCION DE BAJAS

CAUSA DE LA BAJA DEL MODULO O ESTABLECIMIENTO

 

FORMULARIO R26 C 2613 DESAGREGADO DE SEGUIMIENTO DE OPERACIONES DE COMISIONISTAS

INFORMACION SOLICITADA

SECCION IDENTIFICADOR DEL FORMULARIO

PERIODO QUE SE REPORTA

CLAVE DE LA ENTIDAD

CLAVE DEL FORMULARIO

SECCION DE DATOS DE LA INSTITUCION

CAPTACION MENSUAL  PROMEDIO

SECCION IDENTIFICADOR DEL ADMINISTRADOR

IDENTIFICADOR DEL ADMINISTRADOR

|SECCION IDENTIFICADOR DEL COMISIONISTA

IDENTIFICADOR DEL COMISIONISTA

SECCION IDENTIFICADOR DEL MODULO O ESTABLECIMIENTO

CLAVE DEL MODULO O ESTABLECIMIENTO

LOCALIDAD DEL MODULO O ESTABLECIMIENTO (Catálogo CNBV)

SECCION DE CLASIFICADORES DE LA AGRUPACION

TIPO DE OPERACION REALIZADA POR EL COMISIONISTA (Catálogo CNBV)

MEDIO DE PAGO UTILIZADO (Catálogo CNBV)

SECCION DE MOVIMIENTOS Y OPERACIONES

MONTO DE LAS OPERACIONES REALIZADAS

NUMERO DE OPERACIONES REALIZADAS

NUMERO DE CLIENTES QUE REALIZARON OPERACIONES

 

Las Instituciones de Crédito reportarán la información que se indica en los presentes formularios, ajustándose a las características y especificaciones que para efectos de llenado y envío de información, se presentan en el Sistema Interinstitucional de Transferencia de Información (SITI).

Serie R27 …

 

ANEXO 52

LINEAMIENTOS MINIMOS DE OPERACION Y SEGURIDAD PARA LA CONTRATACION DE SERVICIOS DE APOYO TECNOLOGICO

Las Instituciones deberán considerar los aspectos siguientes:

I.        Aspectos en materia de operación.

a.     Esquemas de redundancia o mecanismos alternos en las telecomunicaciones de punto a punto que permitan contar con enlaces de comunicación que minimicen el riesgo de interrupción en el servicio de telecomunicaciones.

b.     Estrategia de continuidad en los servicios informáticos que proporcionen a la Institución la capacidad de procesar y operar los sistemas en caso de contingencia, fallas o interrupciones en las telecomunicaciones o de los equipos de cómputo centrales y otros que estén involucrados en el servicio de procesamiento de información de operaciones o servicios.

c.     Mecanismos para establecer y vigilar la calidad en los servicios de información, así como los tiempos de respuesta de los sistemas y aplicaciones.

d.     Esquema de soporte técnico, a fin de solucionar problemas e incidencias, con independencia, en su caso, de las diferencias en husos horarios y días hábiles.

II.       Aspectos en materia de seguridad.

a.     Medidas para asegurar la transmisión de la Información Sensible del Usuario en forma cifrada punto a punto y elementos o controles de seguridad en cada uno de los nodos involucrados en el envío y recepción de datos.

b.     Establecimiento de funciones del oficial de seguridad. Para efectos de que la Institución contratante se mantenga enterada del acceso y uso de la información, deberá designar a una persona que se desempeñe como oficial de seguridad en la Institución, quien gozará de independencia respecto de las áreas operativas, de auditoría y de sistemas, y cuya función consistirá, entre otras cosas, en administrar y autorizar los accesos. Dichos accesos deberán corresponder a la necesidad de conocer la información de acuerdo a las funciones documentadas del puesto.

        Asimismo, el oficial de seguridad deberá contar en todo momento con los registros de todo el personal que tenga acceso a la información relacionada con las operaciones de la Institución, incluso de aquél ubicado fuera del territorio nacional, en cuyo caso el personal autorizado para acceder a dicha información deberá ser autorizado por el responsable de las funciones de contraloría interna señaladas en la fracción V del Artículo 166 de las presentes disposiciones.

c.     Esquema mediante el cual se mantendrá en una oficina de la institución de crédito contratante, la bitácora de acceso a la información por el personal debidamente autorizado.

III.      Auditoría y Supervisión.

a.     Políticas y procedimientos relativos a la realización de auditorías internas o externas sobre la infraestructura, controles y operación del centro de cómputo del tercero, relacionado con el ambiente de producción para la institución de crédito, al menos una vez cada dos años con el fin de evaluar el cumplimiento de lo mencionado en el presente anexo.

        Tratándose de las operaciones a que se refiere la fracción X del Artículo 319 de las disposiciones que se realicen a través de Administradores de Comisionistas, la auditoría a que se refiere el párrafo anterior, deberá realizarse por la propia Institución, al menos una vez al año.

b.     Mecanismos de acceso al ambiente tecnológico, incluyendo información, bases de datos y configuraciones de seguridad, desde las instalaciones de la Institución en territorio nacional.

 

ANEXO 58

REQUERIMIENTOS TECNICOS PARA LA OPERACION DE MEDIOS ELECTRONICOS PARA LAS OPERACIONES CONTEMPLADAS EN LA SECCION SEGUNDA DEL CAPITULO XI DEL TITULO QUINTO

Los Medios Electrónicos que utilicen las Instituciones para garantizar la correcta ejecución de las operaciones bancarias y de seguridad de la información de los clientes bancarios y del público en general, deberán cumplir con los requerimientos a que se refiere el presente anexo.

I.        Definiciones.

          Para efectos del presente anexo, en adición a las definiciones señaladas en el Artículo 1 de las presentes disposiciones, se entenderá por:

1.     Identificador Individual: La cadena de caracteres asignada a cada Operador en lo individual.

2.     Operador: El empleado del comisionista Usuario que tenga acceso a los Medios Electrónicos.

II.       Requerimientos de los Medios Electrónicos.

1.     Mecanismos necesarios para realizar las transacciones en línea.

        Los Medios Electrónicos deberán contar con los mecanismos necesarios para realizar las transacciones en línea, es decir, al instante mismo en que se lleve a cabo la operación, actualizando los saldos del cliente en línea salvo tratándose de las operaciones referidas en el Artículo 319, Fracción IV, donde podrán realizar la actualización de saldos en apego a lo establecido por las reglas de operación de las propias Instituciones.

        Para tales efectos, las operaciones de pago de servicios en efectivo o con tarjeta de débito, o con cargo a Cuentas Bancarias, depósito de efectivo, pago de créditos en efectivo y situación de fondos; deberán registrarse como un cargo a la cuenta de depósito que el comisionista tenga con la Institución. Por su parte, las operaciones de retiro de efectivo y pago de cheques deberán registrarse como un abono a la misma cuenta.

2.     Validación de Medios Electrónicos del comisionista.

        Unicamente los Medios Electrónicos de los comisionistas autorizados por la Institución tendrán acceso a la infraestructura dispuesta por aquélla.

        Los sistemas informáticos de la Institución deberán autenticar a los Medios Electrónicos que los comisionistas utilicen para realizar operaciones bancarias.

3.     Certificación de Medios Electrónicos del comisionista.

        La Institución será responsable de certificar la instalación y el uso de los Medios Electrónicos que el comisionista mantenga para la realización de las operaciones bancarias, así como de establecer mecanismos periódicos de evaluación de dichos Medios Electrónicos.

        Asimismo, la Institución deberá cerciorarse en todo momento que los medios electrónicos utilizados por los comisionistas mantienen mecanismos de control que eviten la lectura y extracción de la información de los clientes por terceros no autorizados.

4.     Políticas y procedimientos para la administración de accesos y configuración de Medios Electrónicos.

        La Institución deberá contar con políticas y procedimientos para la:

a)    Administración de los accesos de los empleados de los comisionistas a los Medios Electrónicos.

b)    Capacitación a los comisionistas en el uso de los Medios Electrónicos. Dicha capacitación deberá incluir aspectos relacionados con la protección de la información de los clientes bancarios.

c)     Configuración de los Medios Electrónicos que se conecten a sus sistemas informáticos.

d)    Administración de llaves criptográficas utilizadas entre los comisionistas y sus sistemas.

5.     Transmisión de datos Cifrada.

        Las Instituciones deberán cifrar el mensaje o utilizar medios de comunicación Cifrada para la transmisión de la Información Sensible del Usuario, desde el punto de originación de la operación hasta los sistemas centrales de la Institución, para llevar a cabo consultas, Operaciones Monetarias y cualquier otro tipo de transacción bancaria, entre la Institución y sus clientes utilizando los Medios Electrónicos de los comisionistas.

6.     Generación de registros electrónicos de operaciones.

        Todas las operaciones realizadas a través de los comisionistas deberán generar registros electrónicos que no puedan ser modificados o borrados y en los que se deberá incluir al menos la fecha, hora y minuto, el tipo y monto de la instrucción, el número de cuenta del cliente bancario, ubicación física de la ventanilla o medio a través del cual se ejecutó la instrucción, así como la información suficiente que permita la identificación del personal que realizó la instrucción. La custodia de dichos registros deberá estar a cargo de la Institución.

III.      Requerimientos de Autenticación de Operadores y clientes bancarios.

1.     Mecanismos necesarios para la plena identificación de los comisionistas.

        Las Instituciones deberán autenticar a los Operadores que se conectarán a través de los comisionistas.

2.     Generación y entrega de Contraseñas o Claves de Acceso de los Operadores y Números de Identificación Personal (NIP) de los clientes bancarios.

        Las Instituciones deberán establecer mecanismos para el proceso de generación y entrega de los Factores de Autenticación que aseguren que sólo el comisionista, en su caso, los Operadores y los clientes bancarios, respectivamente, podrán conocer.

3.     Composición de Contraseñas o Claves de Acceso de los Operadores y Números de Identificación Personal (NIP) de los clientes bancarios.

        Deberán establecerse criterios para las características de la longitud de las Contraseñas o Claves de Acceso de los Operadores y de los Números de Identificación Personal (NIP) de los clientes bancarios.

4.     Protección de Contraseñas o Claves de Acceso y Números de Identificación Personal (NIP).

        Las Instituciones deberán proveer lo necesario para evitar la lectura de los caracteres que componen las Contraseñas o Claves de Acceso, así como los Números de Identificación Personal (NIP) digitados por los clientes bancarios, respectivamente, en los Medios Electrónicos de acceso, tanto en su captura como en su despliegue a través de la pantalla.

        Las Contraseñas o Claves de Acceso y los Números de Identificación Personal (NIP) deberán validarse y almacenarse a través de mecanismos de encripción, cuyas llaves criptográficas deberán estar bajo administración y control de la Institución de que se trate. En ningún momento, los comisionistas podrán tener acceso a los datos o algoritmos relacionados con dichas Contraseñas o Claves de Acceso y Números de Identificación Personal (NIP).

5.     Autenticación con dos factores para clientes bancarios.

        Para la realización a través de los comisionistas de consultas y operaciones que representen un cargo a la cuenta de los clientes bancarios, éstos últimos deberán autenticarse a través de los Medios Electrónicos con los que se realicen las mencionadas operaciones utilizando dos Factores de Autenticación diferentes.

        Para efectos de lo anterior, las Instituciones podrán optar por la combinación de al menos dos de los siguientes Factores de Autenticación y ajustarse a lo dispuesto en el Capítulo X del Título Quinto de las presentes disposiciones:

a)    Tarjetas de débito o crédito con mecanismos de seguridad tales como tarjetas con banda magnética y/o circuito integrado o “chip”.

b)    Número de Identificación Personal (NIP).

        En el caso de que se utilicen tarjetas de débito o crédito, se deberá hacer uso de lectoras de tarjetas, tales como PIN PADS, para la Autenticación de clientes bancarios, que cuenten con una pantalla y un teclado exclusivamente diseñado para que el cliente bancario pueda ingresar la información de su respectiva tarjeta y su Número de Identificación Personal (NIP), así como con mecanismos que eviten su lectura por parte de terceros.

        En el caso de utilizar teléfono celular, el Número de Identificación Personal (NIP) deberá ser ingresado directamente en el teclado de dicho teléfono. En ningún caso la información del NIP podrá ser almacenada en el teléfono celular sin mecanismos de encripción.

c)     Factor Biométrico.

        En caso de utilizar lectores biométricos para la Autenticación de los clientes bancarios, dichos lectores deberán tener mecanismos que aseguren que es el cliente autorizado el que realiza la operación.

        Toda la administración y control de la información biométrica deberá ser responsabilidad única de la Institución a través de los canales de atención al cliente que tienen establecidos.

d)    Teléfono celular.

        En caso de utilizar teléfonos celulares para la Autenticación de los clientes bancarios, las Instituciones deberán verificar que la tecnología de dichos teléfonos celulares les permita funcionar como Factor de Autenticación y que cuenta con mecanismos de seguridad que eviten su duplicación.

        Las Instituciones no podrán utilizar la combinación de los Factores de Autenticación a que se refieren los incisos a) y d) para autenticar a sus clientes.

6.     Autenticación para Operadores.

        Para la recepción y operación de transacciones solicitadas por los clientes bancarios a través de los Medios Electrónicos de los comisionistas, los Operadores deberán iniciar una sesión y autenticarse a través de dichos Medios.

        Los procesos de autenticación deberán ser responsabilidad única de la Institución, a través de los mecanismos que ésta estime conveniente.

7.     Bloqueo de los Factores de Autenticación.

        Se deberán establecer esquemas de bloqueo de los Factores de Autenticación cuando se intente ingresar a los Medios Electrónicos de forma incorrecta. En ningún caso los intentos de acceso fallidos podrán exceder de cinco ocasiones consecutivas sin que se genere el bloqueo automático.

        Unicamente la Institución, previa autenticación del cliente bancario o del Operador, en su caso, podrá desbloquear dichos Factores de Autenticación.

8.     Acceso a datos del cliente bancario.

        En ningún caso los Medios Electrónicos utilizados por los comisionistas podrán permitir la realización de operaciones o consulta de saldos sin la previa Autenticación en términos del numeral 5 del apartado III del presente anexo, del cliente correspondiente. Quedarán exceptuadas para este caso las operaciones de depósito y pagos.

        Asimismo, tratándose de operaciones bancarias que requieran que el comisionista acceda a los saldos de las cuentas de los clientes bancarios, dicho comisionista deberá, en todo momento, guardar confidencialidad respecto de dicha operación y realizar previamente al acceso respectivo, la Autenticación referida en el numeral 1 del apartado III del presente anexo.

IV.     Operación de Medios Electrónicos.

1.     Validación de estructura de cuenta destino.

        Los Medios Electrónicos de los comisionistas deberán validar, con base en la información disponible para la Institución, la estructura del número de la cuenta destino o del contrato, sea que se trate de cuentas para depósito, pago de servicios, Clave Bancaria Estandarizada, tarjetas de crédito u otros medios de pago.

2.     Generación de comprobantes de operación.

        Los Medios Electrónicos deberán generar automáticamente los comprobantes de operación que emitan las Instituciones para cada operación, sin mediar intervención alguna por parte del personal del comisionista. Dichos comprobantes de operación serán diferentes a aquéllos que utilicen los comisionistas para registrar las operaciones propias de su giro comercial y deberán incluir, en adición a lo dispuesto por las disposiciones aplicables en materia de comprobantes de operación de las Instituciones, lo siguiente:

a)    Los datos que permitan al cliente bancario identificar la cuenta respecto de la cual se efectuó la operación. En ningún momento se deberá mostrar en los comprobantes el número completo de la cuenta.

b)    La información de las consultas de saldos, cuando el cliente así lo haya solicitado y autorizado, en cuyo caso deberá ser proporcionada únicamente al cliente a través del comprobante correspondiente. El comisionista no podrá emitir un duplicado de dicho comprobante o mantener copia del mismo.

c)     La identificación de la Institución y del comisionista con el que se efectuó la operación, precisando en este último caso, el domicilio del establecimiento a través del cual se ejecutó la instrucción, así como la identificación de los medios de disposición que se hubieren utilizado.

d)    La información que permita la identificación del personal que realizó la instrucción.

e)    Cuando se alcancen los límites a que se refieren los Artículos 323  de las presentes disposiciones, según corresponda, no se podrán llevar a cabo las operaciones solicitadas, por lo que los Medios Electrónicos deberán generar comprobantes que indiquen al cliente bancario dicha situación. Para tales efectos, se deberá proporcionar un comprobante que incluya las leyendas siguientes:

i)      En el caso del límite a que se refiere la fracción II, inciso b), del Artículo 323 de las presentes disposiciones:

        “Transacción no realizada por haber excedido su límite permitido. Acuda a una sucursal bancaria.”

ii)     En el caso de los límites a que se refieren las fracciones I y II, inciso a), del Artículo 323 de las presentes disposiciones, según corresponda:

        “Transacción no realizada.”

        Por ningún motivo deberá mostrarse en el comprobante de operación el domicilio del cliente.

3.     Monitoreo de operaciones.

        La Institución deberá establecer mecanismos continuos mediante herramientas informáticas que le permitan monitorear las actividades realizadas por los Operadores a través de los Medios Electrónicos de los comisionistas con el fin de detectar transacciones que se alejen de los parámetros habituales de operación.

4.     Almacenamiento de Información Sensible del Usuario bancario en Medios Electrónicos de los comisionistas.

        Los comisionistas no podrán almacenar, conservar o copiar en sus Medios Electrónicos o en cualquier otro medio, Información Sensible del Usuario de la Institución. Asimismo, los comisionistas no podrán emitir un duplicado de los comprobantes de consultas de saldos o mantener copias de los mismos. En los casos que por razones operativas y técnicas se requiera almacenar parcial o totalmente dicha información en sus Medios Electrónicos, ésta deberá mantener mecanismos de encripción. Las llaves criptográficas correspondientes deberán ser administradas por la propia Institución.

        En el caso de que la información relacionada con la clientela de la Institución corresponda a operaciones derivadas del uso de Cuentas Bancarias, podrá ser almacenada sin mecanismos de encripción, siempre y cuando la información no contenga nombres y domicilios.

        Corresponderá a las Instituciones verificar el cumplimiento del presente numeral.

5.     Administración y control de aclaraciones y reportes por robo o extravío de los Factores de Autenticación.

        Todas las aclaraciones y quejas a las que se refieren el segundo párrafo de la fracción III del Artículo 322 de las presentes disposiciones, según corresponda, así como los reportes por robo o extravío de los Factores de Autenticación mencionados en la fracción VI del Artículo 322, deberán consolidarse en una base de datos administrada y controlada en todo momento por la Institución de que se trate.

ANEXO 63

GUIA PARA EL USO DEL SERVICIO DE BANCA ELECTRONICA

I.        POR SERVICIO

a)    Servicios Pago Móvil, Banca Móvil y Banca por Internet

A=Artículo, P=Párrafo, B=Bis, F= Fracción, T= Transitorio

 

Concepto

Pago Móvil

Banca Móvil

Banca por Internet

Resumen

Servicio en el cual el dispositivo de acceso consiste en un Teléfono Móvil del Usuario cuyo número de línea se encuentra asociado al servicio y en el que únicamente se podrán realizar consultas de saldos de las cuentas asociadas al servicio, pagos o transferencias con cargo a una tarjeta o cuenta bancaria y actos para la administración del servicio A1. Se pueden realizar las siguientes operaciones:

a)   Micro Pagos (70 UDIs) sin registro de cuentas A314.P8 y sin Factor de Autenticación (FA) A313.P3, siempre y cuando la Institución pague las reclamaciones en 48 horas A313.P3

b)   Baja Cuantía (250 UDIs) sin registro de cuentas A314.P8

c)   Mediana Cuantía (1,500 UDIs) requieren registro de Cuentas Destino A314.P1

b) y c) requieren de un solo FA A313.P2 (NIP de 5 dígitos A310.F2.b).ii)

El monto de operaciones está limitado a 1,500 UDIs diarias y 4,000 UDIs mensuales A315.P5

Servicios y operaciones bancarias a través de un Teléfono Móvil del Usuario cuyo número de línea está asociado al servicio A1. Este dato debe ser obtenido de forma automática por la Institución para ser utilizado como identificador de Usuario A308.P4

Los servicios que utilicen navegadores u otras aplicaciones, y cuyo número de línea del Teléfono Móvil no se encuentre asociado al servicio, son considerados Banca por Internet

Servicios y operaciones bancarias realizadas a través de Internet, en el sitio que corresponda a uno o más dominios de la Institución, incluyendo el acceso mediante el protocolo WAP o equivalente A1

El acceso al servicio puede realizarse mediante cualquier equipo (PC, Teléfono Móvil, PDA) con conexión a Internet

 

Contratación

A través de uno de los siguientes:

a) Centros de atención telefónica A307.F3

b) Con firma autógrafa A307.F1

c) En otro servicio utilizando un Segundo Factor de Autenticación (2FA) A307.F2.P1. Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

Se pueden asociar hasta dos tarjetas o cuentas bancarias del mismo Usuario a un número de línea de Teléfono Móvil, siempre y cuando solamente una de ellas funcione bajo la modalidad de Operaciones de Micro Pagos A307.F3.P2

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias. A307.F6

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

A través de uno de los siguientes:

a) Con firma autógrafa A307.F1

b) En otro servicio utilizando un 2FA A307.F2.P1. Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

c) Centros de atención telefónica, siempre y cuando las operaciones que se puedan realizar no requieran un segundo factor de autenticación y sea para cuentas niveles 1 a 3 A307.F1.d) y F3

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias. A307.F6

A través de uno de los siguientes:

a) Con firma autógrafa A307.F1

b) En otro servicio utilizando un 2FA A307.F2.P1. Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

c) Con firma electrónica avanzada o fiable (únicamente para realizar operaciones entre la cuenta originadora del Usuario y una Cuenta Destino del propio Usuario en otra Institución) o bien, tratándose de cuentas originadoras niveles 2 y 3, con mecanismos similares al utilizado para abrir la cuenta. Se requiere autorización A307.F5

d) Centros de Atención telefónica cuando el servicio esté asociado a cuentas de niveles 1 a 3  y sean para las operaciones que no estén comprendidas en el artículo 313 de las presentes disposiciones) A307.F1.d) y F3

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias. A307.F6

Identificador de Usuario

Número de la línea del teléfono móvil obtenido automáticamente por la Institución A308.P4

Número de la línea del teléfono móvil obtenido automáticamente por la Institución A308.P4

Identificador único de Usuario A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud A308.P3

Factores de Autenticación

Factor Categoría 2: Contraseña o Número de Identificación Personal (NIP) de 5 caracteres A310.F2.b).ii

Factor Categoría 2: Contraseña o NIP de 6 caracteres A310.F2.b), más cualquiera de los siguientes:

Factor Categoría 3: Contraseñas de un solo uso (OTP) A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T), ó;

Factor Categoría 4: Biométricos A310.F4.P1 

Factor Categoría 2: Contraseña o NIP de 8 caracteres (Aplica A6T) A310.F2.b).iii, más cualquiera de los siguientes:

Factor Categoría 3: Contraseñas de un solo uso (OTP) A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T), ó;

Factor Categoría 4: Biométricos A310.F4.P1

Autenticación de la Institución por el Usuario

No Aplica

No Aplica

Se debe proporcionar información que solo el Usuario conozca antes de ingresar todos los elementos de identificación y Autenticación del Usuario A311.F1

Una vez que el Usuario identifique a la Institución e inicie Sesión, la Institución desplegará fecha y hora del último acceso al servicio de Banca Electrónica y nombre completo A311.F2

Impedir la lectura en pantalla de la información de Autenticación

Puede no enmascararse el NIP, para ello requieren autorización A309.F1.P2 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A309.F1.P3

Aplica A309.F1

Aplica A309.F1

Operaciones y uso de un 2FA Categoría 3 (OTP) ó 4 (Biométrico)

No requiere un 2FA para Operaciones Monetarias A313.P2

Operaciones Monetarias permitidas:

a) Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios A313.F1

b) Pago de impuestos A313.F2

Se pueden realizar pagos de hasta 70 UDIs sin necesidad de utilizar ningún FA A313.P3. Se requiere autorización y deberán asumir por escrito el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A313.P3

Operaciones permitidas utilizando un 2FA A313.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A313.F1

b)   Pago de impuestos A313.F2

c)   Establecimiento e incremento de límites de monto A313.F3

d)   Registro de Cuentas Destino A313.F4

e)   Alta y modificación del medio de notificación A313.F5

f)    Consultas de estados de cuenta A313.F6

g)   Contratación de otro servicio A313.F7

h)   Desbloqueo de Contraseñas o NIPs A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2

En el caso del inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente A313.F6.P3

Se pueden realizar pagos de hasta 70 UDIs sin necesidad de utilizar ningún FA A313.P3. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A313.P3

Operaciones permitidas utilizando un 2FA A313.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A313.F1

b)   Pago de impuestos A313.F2

c)   Establecimiento e incremento de límites de monto A313.F3

d)   Registro de Cuentas Destino A313.F4

e)   Alta y modificación del medio de notificación A313.F5

f)    Consultas de estados de cuenta A313.F6

g)   Contratación de otro servicio A313.F7

h)   Desbloqueo de Contraseñas o NIPs A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2

En el caso del inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente A313.F6.P3

En el caso de personas morales, no será obligatorio el uso de un 2FA por cada operación, si se utilizan mecanismos mediante los cuales una persona realiza la solicitud de la operación y otra es quien la autoriza A313.P5. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A313.P6 

Registro de Cuentas Destino

Para operaciones mayores a 250 UDIs se requiere el registro de Cuentas Destino A314.P8. Las Cuentas Destino serán habilitadas treinta minutos posteriores a su registro A314.P5

No es posible registrar cuentas por este servicio A1

Se pueden registrar cuentas mediante firma autógrafa A313.F1.P2 o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos A314.P5

 

Para operaciones mayores a 250 UDIs se requiere el registro de Cuentas Destino A314.P8, las cuales se habilitarán al momento de registrarlas por este servicio A314.P5

Se pueden registrar en el mismo servicio usando un 2FA Categorías 3 ó 4 A313.F4, mediante firma autógrafa A313.F1.P2, o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos A314.P5

 

Se requiere el registro de Cuentas Destino A314.P1, las cuales se habilitarán treinta minutos posteriores a su registro A314.P5

Se pueden registrar en el mismo servicio usando un 2FA Categorías 3 ó 4 A313.F4, mediante firma autógrafa A313.F1.P2, o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4

Se pueden habilitar Cuentas Destino antes de los 30 minutos siempre y cuando las operaciones no excedan del equivalente a las Operaciones Monetarias de Baja Cuantía (250 UDIs) y 1,000 UDIs mensuales A314.P6, para ello requieren autorización A314.P6

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos A314.P5

Las Cuentas Destino registradas por personas morales utilizando mecanismos mediante los cuales una persona realiza la solicitud de la operación y otra es quien la autoriza podrán quedar habilitadas antes de los 30 minutos A313.P5. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A313.P6

En el caso de personas morales y personas físicas con actividad empresarial, se podrá permitir el registro de un conjunto de Cuentas Destino considerándolo como una sola operación A314.P4 

Notificaciones

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A316.B1.F1

b)   Pago de impuestos A316.B1.F2

c)   Modificación de Contraseñas y NIPs A316.B1.F8

No se requieren notificaciones para las operaciones referidas en los incisos a) y b) en los siguientes casos:

a)   El monto acumulado diario sea menor o igual a 600 UDIs A316.B1.P3

b)   La operación sea menor o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes A316.B1.P3

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A316.B1.F1

b)   Pago de impuestos A316.B1.F2

c)   Modificación de límites de montos A316.B1.F3

d)   Registro de Cuentas Destino A316.B1.F4

e)   Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5

f)    Contratación de otro servicio o modificación de condiciones en el uso A316.B1.F6

g)   Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7

h)   Modificación de Contraseñas y NIPs A316.B1.F8

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A316.B1.F1

b)   Pago de impuestos A316.B1.F2

c)   Modificación de límites de montos A316.B1.F3

d)   Registro de Cuentas Destino A316.B1.F4

e)   Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5

f)    Contratación de otro servicio o modificación de condiciones en el uso A316.B1.F6

g)   Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7

h)   Modificación de Contraseñas y NIPs A316.B1.F8

Límites de monto operativos

Se pueden realizar Operaciones Monetarias de hasta Mediana Cuantía (1,500 UDIs diarias) y 4,000 UDIs mensuales A315.P5

Operaciones de hasta Mediana Cuantía A1 requieren registro previo de cuentas A314.P1

Se pueden realizar Operaciones de Baja Cuantía (250 UDIs) sin registro de Cuentas Destino A314.P8

Para Operaciones de Micro Pagos, el saldo disponible de la cuenta asociada debe ser menor o igual a 70 UDIs A315.P5

Límite definido por el Usuario A315.P2 sin sobrepasar los límites establecidos por la propia Institución A315.P6

Se pueden realizar Operaciones hasta de Baja Cuantía (250 UDIs) sin registro de Cuentas Destino A314.P8

Para Operaciones de Micro Pagos, el saldo disponible de la cuenta asociada debe ser menor o igual a 70 UDIs A315.P5

 

Límite definido por el Usuario A315.P2 sin sobrepasar los límites establecidos por la propia Institución A315.P6

Se limitan a Operaciones Monetarias de Baja Cuantía (250 UDIs) y hasta 1,000 UDIs mensuales, a las Cuentas Destino que queden habilitadas antes de pasar 30 minutos desde su registroA314.P6, para ello requieren autorización A314.P6

 

Controles para establecer límites de monto aplicables al mismo canal o a otro

No es posible establecer o incrementar límites de monto en este servicioA1

 

Proveer lo necesario para que los Usuarios establezcan límites de monto A315.P2. Para establecer o incrementar, se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo servicio o en otro A313.F4

Para disminuir, mismo servicio con FA Categoría 2 A315.P3

Proveer lo necesario para que los Usuarios establezcan límites de monto A315.P2. Para establecer o incrementar, se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo servicio o en otro A313.F4

Para disminuir, mismo servicio con FA Categoría 2 A315.P3

Seguridad en el envío de Contraseñas y Números de Identificación Personal

Podrán implementar controles compensatorios para proteger la transmisión de Información Sensible del Usuario A316.B10.F1.P4

Transmisión cifrada de Información Sensible del Usuario desde el Dispositivo de Acceso hasta su recepción por la Institución A316.B10.F1

Transmisión cifrada de Información Sensible del Usuario desde el Dispositivo de Acceso hasta su recepción por la Institución A316.B10.F1

Activación / Desactivación Servicios

Los Usuarios deberán tener la opción de desactivar en forma temporal el servicio A316.B5.P1 en el mismo servicio o en otro con un FA A316.B5.P1,P2

La reactivación se puede hacer en un centro de atención telefónica o usando los medios de contratación A316.B5.P3

Los Usuarios deberán tener la opción de desactivar en forma temporal el servicio A316.B5.P1 en el mismo servicio o en otro con un FA A316.B5.P1,P2

La reactivación se puede hacer en un centro de atención telefónica o usando los medios de contratación A316.B5.P3

No aplica

 

b)      Servicios de Banca Electrónica ofrecidos a través de Cajeros Automáticos y Terminales Punto de Venta

A=Artículo, P=Párrafo, B=Bis, F= Fracción, T= Transitorio

 

Concepto

Cajeros Automáticos

Terminal Punto de Venta

Resumen

Servicios de Banca Electrónica proporcionados a través de Dispositivos de Acceso de autoservicio que permiten realizar consultas y operaciones bancarias y al cual se accede mediante una tarjeta o cuenta bancaria A1

Deben contar con lectores que permitan obtener información de Tarjetas Bancarias con Circuito Integrado A316.B8 (Aplica A9T)

Servicios de Banca Electrónica proporcionados a través de Dispositivos de Acceso, tales como terminales de cómputo, teléfonos móviles y programas de cómputo, operados por comercios  o Usuarios para el pago de bienes o servicios con cargo a una tarjeta  o cuenta bancaria A1

Deben contar con lectores que permitan obtener información de Tarjetas Bancarias con Circuito Integrado A316.B8 (Aplica A4T)

Contratación

A través de uno de los siguientes:

a) Con firma autógrafa A307.F1

b) En otro servicio utilizando un Segundo Factor de Autenticación (2FA) A307.F2.P1. Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

Tratándose de la operación de Cuentas Bancarias de los Niveles 1 a 3, no se requiere consentimiento mediante firma autógrafa para su uso A307.F1.b)

No se puede contratar otro servicio desde este medio A307.F2.P3

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

A través de uno de los siguientes:

a) Con firma autógrafa A307.F1

b) En otro servicio utilizando un 2FA A307.F2.P1. Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

Tratándose de la operación de Cuentas Bancarias de los Niveles 1 a 3, no se requiere consentimiento mediante firma autógrafa para su uso A307.F1.b)

No se puede contratar otro servicio desde este medio A307.F2.P3

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

Identificación de Usuario

Puede ser el número de tarjeta bancaria A308.P4

Puede ser el número de tarjeta bancaria A308.P4

Factores de Autenticación

Factor 2: Contraseña o NIP de 4 dígitos A310.F2.b).i más cualquiera de los siguientes:

Factor 3: Contraseñas de un solo uso (OTP) A310.F3.P1 y Tarjetas Bancarias con Circuito Integrado A310.F3.P3

Asimismo se podrán usar Tarjetas Bancarias sin Circuito Integrado siempre y cuando las Instituciones que aprueben las operaciones asuman el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.F3.P4 (Aplica A10T)

Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T), ó;

Factor 4: Biométricos A310.F4.P1 

Factor 2: Contraseña o NIP de 4 dígitos A310.F2.b).i más cualquiera de los siguientes:

Factor 3: Contraseñas de un solo uso (OTP) A310.F3.P1 y Tarjetas Bancarias con Circuito Integrado A310.F3.P3

Asimismo se podrán usar Tarjetas Bancarias sin Circuito Integrado siempre y cuando las Instituciones que aprueben las operaciones asuman el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.F3.P4 (Aplica A10T)

Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T), ó;

Factor 4: Biométricos A310.F4.P1

Impedir la lectura en pantalla de la información de Autenticación

Aplica A309.F1

Aplica A309.F1

Operaciones y uso de un 2FA Categoría 3 (OTP) ó 4 (Biométrico)

 

Operaciones permitidas utilizando un 2FA A313.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A313.F1

b)   Pago de impuestos A313.F2

c)   Establecimiento de límites de monto A313.F3

d)   Registro de Cuentas Destino A313.F4

e)   Alta del medio de notificación A313.F5

f)    Consultas de estados de cuenta A313.F6

g)   Desbloqueo de Contraseñas o NIPs A313.F8

h)   Retiro de efectivo A313.F9

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2

En el caso del inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente A313.F6.P3

No se puede modificar el medio de notificación en este servicio A316.B1.P4

Los Cajeros Automáticos que las Instituciones pongan a disposición de los Usuarios para realizar operaciones deberán contar con lectores que obtengan la información directamente del circuito de las Tarjetas Bancarias con Circuito Integrado A316.B8 (Aplica A9T)

Operaciones permitidas utilizando un 2FA A313.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A313.F1

b)   Pago de impuestos A313.F2

c)   Establecimiento de límites de monto A313.F3

d)   Registro de Cuentas Destino A313.F4

e)   Alta del medio de notificación A313.F5

f)    Consultas de estados de cuenta A313.F6

g)   Desbloqueo de Contraseñas o NIPs A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2

En el caso del inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente A313.F6.P3

Se pueden realizar pagos de hasta 70 UDIs sin necesidad de utilizar un FA A313.P3. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A313.P3

No se puede modificar el medio de notificación en este servicio A316.B1.P4

Las Terminales Punto de Venta que las Instituciones pongan a disposición de los Usuarios para realizar operaciones deberán contar con lectores que obtengan la información directamente del circuito de las Tarjetas Bancarias con Circuito Integrado A316.B8 (Aplica A4T)

Registro de Cuentas Destino

No requiere registro de Cuentas Destino A314.P8

No requiere registro de Cuentas Destino A314.P8

Notificaciones

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1:

a)   Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A316.B1.F1

b)   Pago de impuestos A316.B1.F2

c)   Establecimiento de límites de monto A316.B1.F3

d)   Registro de Cuentas Destino de terceros u otras Instituciones A316.B1.F4

e)   Alta del medio de notificación A316.B1.F5

f)    Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7

g)   Modificación de Contraseñas y NIPs A316.B1.F8

h)   Retiro de efectivo A316.B1.F9

      No se requieren notificaciones para las operaciones referidas en los incisos a) y b) en los siguientes casos:

a)   El monto acumulado diario sea menor o igual a 600 UDIs A316.B1.P3

b)   La operación sea menor o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes A316.B1.P3

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1:

a)   Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A316.B1.F1

b)   Pago de impuestos A316.B1.F2

c)   Establecimiento de límites de monto A316.B1.F3

d)   Registro de Cuentas Destino de terceros u otras Instituciones A316.B1.F4

e)   Alta del medio de notificación A316.B1.F5

f)    Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7

g)   Modificación de Contraseñas y NIPs A316.B1.F8

No se requieren notificaciones para las operaciones referidas en los incisos a) y b) en los siguientes casos:

a)   El monto acumulado diario sea menor o igual a 600 UDIs A316.B1.P3

b)   La operación sea menor o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes A316.B1.P3

Límites de monto operativos

Límite de 1,500 UDIs diarias por cuenta A315.P4

No aplica

Controles para establecer límites de monto aplicables al mismo canal o a otro

Es posible establecer o incrementar mediante firma autógrafa A315.P1 o con un 2FA Categoría 3 ó 4 en otro servicio A313.F4

Para disminuir, mismo servicio con FA Categoría 2 A315.P3

Es posible establecer o incrementar mediante firma autógrafa A315.P1 o con un 2FA Categoría 3 ó 4 en otro servicio A313.F4

Para disminuir, mismo servicio con FA Categoría 2 A315.P3

Seguridad en el envío de Contraseñas y Números de Identificación Personal

Transmisión cifrada de Información Sensible del Usuario A316.B10.F1

Transmisión cifrada de Información Sensible del Usuario A316.B10.F1

(Aplica A7T)

Activación / Desactivación Servicios

No aplica

No aplica

c)      Servicio de Banca Telefónica Audio Respuesta y Banca Telefónica Voz a Voz

 A=Artículo, P=Párrafo, B=Bis, F= Fracción, T= Transitorio

 

Concepto

Banca Telefónica

Audio Respuesta (IVR)

Banca Telefónica

Voz - Voz

Resumen

Servicios y operaciones bancarias realizadas por el Usuario a través de un sistema telefónico de audio respuesta (IVR)A1

Uso de un Segundo Factor de Autenticación (2FA) para realizar Operaciones y Servicios bancarios

A313.F1

Servicio mediante el cual el Usuario instruye vía telefónica a un representante para realizar operaciones a su nombre A1

La autenticación se realiza mediante cuestionarios que incluyen información que el Usuario conoce y la Institución valida A312.F1

Contratación

A través de uno de los siguientes:

a) Con firma autógrafa A307.F1

b) En otro servicio utilizando un 2FA A307.F2.P1. Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

c) Centros de atención telefónica, siempre y cuando las operaciones que se puedan realizar no requieran un segundo factor de autenticación y sea para cuentas niveles 1 a 3 A307.F1.d) y F3

Tratándose de los servicios señalados en el artículo 307 fracción V, con cuentas originadoras niveles 2 y 3, se permite la contratación con mecanismos de identificación similares al utilizado para abrir la cuenta. A307.F5

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias. A307.F6

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

A través de uno de los siguientes:

a) Con firma autógrafa A307.F1

b) En otro servicio utilizando un 2FA A307.F2.P1. Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

c) Centros de atención telefónica, siempre y cuando las operaciones que se puedan realizar no requieran un segundo factor de autenticación y sea para cuentas niveles 1 a 3 A307.F1.d) y F3

Tratándose de los servicios señalados en el artículo 307 fracción V, con cuentas originadoras niveles 2 y 3, se permite la contratación con mecanismos de identificación similares al utilizado para abrir la cuenta. A307.F5

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias. A307.F6

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

Identificador de Usuario

Identificador único de Usuario A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud A308.P3

Identificador único de Usuario A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud A308.P3

Factores de Autenticación

Factor 2: Contraseñas o NIP de 6 dígitos A310.F2.b), más cualquiera de los siguientes:

Factor 3: Contraseñas de un solo uso (OTP) A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.F3.P7 (Aplica A5T) , ó;

Factor 4: Biométricos A310.F4.P1

Factor 1: Información proporcionada a través de cuestionarios en centros de atención telefónica A310.F1.P1 (Aplica A3T)

Incluye información parcial de los FA categorías 2 o 3, proporcionada a operadores telefónicos, siempre que el usuario haya iniciado la llamada y la información sea utilizada para realizar operaciones de este servicio A316.B4.F3.P2

Impedir la lectura en pantalla de la información de Autenticación

Excepción, no se requiere enmascarar A309.F1

No aplica

Operaciones y uso de un 2FA Categoría 3 (OTP) ó 4 (Biométrico)

Operaciones permitidas utilizando un 2FA A313.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A313.F1

b)   Pago de impuestos A313.F2

c)   Establecimiento e incremento de límites de monto A313.F3

d)   Registro de Cuentas Destino A313.F4

e)   Alta y modificación del medio de notificación A313.F5

f)    Consultas de estados de cuenta A313.F6

g)   Contratación de otro servicio A313.F7

h)   Desbloqueo de Contraseñas o NIPs A313.F8

En el caso del inciso a), se podrá requerir un Factor de Autenticación (FA) Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2

En el caso del inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente A313.F6.P3

Operaciones permitidas utilizando un FA Categoría 1 (Información en centros de atención telefónica) A312.F1. Incluye información parcial de los FA categorías 2 o 3, proporcionada a operadores telefónicos, siempre que el usuario haya iniciado la llamada y la información sea utilizada para realizar operaciones de este servicio A316.B4.F3.P2. Requiere registro de cuentas mediante firma autógrafa A313.P3 o en otro servicio con 2FA, Categorías 3 ó 4 A314.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A313.F1

b)   Pago de impuestos A313.F2

c)   Establecimiento e incremento de límites de monto A313.F3

d)   Alta y modificación del medio de notificación A313.F5

e)   Consultas de estados de cuenta A313.F6

f)    Contratación de otro servicio (sólo Pago Móvil) A312.F2

g)   Desbloqueo de Contraseñas o NIPs A313.F8

Registro de Cuentas Destino

Se requiere el registro de Cuentas Destino A314.P1, las cuales se habilitarán treinta minutos posteriores a su registro A314.P5

Se pueden registrar en el mismo servicio usando un 2FA Categorías 3 ó 4 A313.F4, mediante firma autógrafa A313.F1.P2, o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos A314.P5

Se requiere el registro de Cuentas Destino A314.P1, las cuales se habilitarán treinta minutos posteriores a su registro A314.P5

No se pueden realizar registros de cuentas en este servicio A314.P3

Se pueden registrar Cuentas Destino mediante firma autógrafa A313.F1.P2 o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos A314.P5

Notificaciones

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1:

a)   Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A316.B1.F1

b)   Pago de impuestos A316.B1.F2

c)   Alta y modificación de límites de montos A316.B1.F3

d)   Registro de Cuentas Destino A316.B1.F4

e)   Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5

f)    Contratación de otro servicio o modificación de condiciones en el uso A316.B1.F6

g)   Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7

h)   Modificación de Contraseñas y NIPs A316.B1.F8

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1:

a)   Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A316.B1.F1

b)   Pago de impuestos A316.B1.F2

c)   Ata y modificación de límites de montos A316.B1.F3

d)   Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5

e)   Contratación de otro servicio o modificación de condiciones en el uso A316.B1.F6

f)    Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7

Límites de monto operativos

Límite definido por el Usuario sin sobrepasar los límites establecidos por las disposiciones o por la misma Institución A315.P6

Límite definido por el Usuario sin sobrepasar los límites establecidos por las disposiciones o por la misma Institución A315.P6

Controles para establecer límites de monto aplicables al mismo canal o a otro

Proveer lo necesario para que los Usuarios establezcan límites de monto A315.P2. Para establecer o incrementar, se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo servicio o en otro A313.F4

Para disminuir, mismo servicio con FA Categoría 2 A315.P3

Proveer lo necesario para que los Usuarios establezcan límites de monto A315.P2. Para establecer o incrementar, se requiere firma autógrafa A315.P1 , en el mismo servicio con un FA categoría 1 A312.F1, con información parcial de un FA categoría 2 o 3 A316.B4.F3.P2, ó con 2FA Categoría 3 ó 4 en otro servicio A313.F4

Para disminuir, mismo servicio con FA Categoría 1 A315.P3

Seguridad en el envío de Contraseñas y Números de Identificación Personal

Podrán implementar controles compensatorios para proteger la transmisión de Información Sensible del Usuario A316.B10.F1.P4

Podrán implementar controles compensatorios para proteger la transmisión de Información Sensible del Usuario A316.B10.F1.P4

Activación / Desactivación Servicios

No aplica

No aplica

 

d)      Banca Host to Host y otro servicio no especificado en las Disposiciones

 A=Artículo, P=Párrafo, B=Bis, F= Fracción, T= Transitorio

 

Concepto

Banca Host to Host

Otro Servicio

Resumen

Conexión directa entre equipos de cómputo del Usuario y de la Institución, incluye aplicaciones conocidas como cliente-servidor A1 (Aplica A8T)

Servicios utilizados por personas morales o personas físicas con actividad empresarial

Generalmente se utiliza para altos volúmenes de operaciones

Cualquier otro servicio de Banca Electrónica no definido en las presentes Disposiciones

Contratación

A través de uno de los siguientes:

a) Con firma autógrafa A307.F1

b) En otro servicio utilizando un Segundo Factor de Autenticación (2FA) A307.F2.P1. Asimismo, requiere confirmar utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

A través de uno de los siguientes:

a) Con firma autógrafa A307.F1

b) En otro servicio utilizando un 2FA A307.F2.P1. Asimismo, requiere confirmar utilizando un 2FA adicional en un periodo no menor a 30 minutos A307.F2.P2

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados A306.F1.c)

Identificador de Usuario

Identificador único de Usuario A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud A308.P3

Identificador único de Usuario A308.P2 definido por la Institución o por el Usuario de mínimo seis caracteres de longitud A308.P3

Factores de Autenticación

Factor 2: Contraseña o NIP de 6 dígitos A310.F2.b), más cualquiera de los siguientes:

Factor 3: Contraseñas de un solo uso (OTP) A310.F3.P1 o mecanismos para validar los equipos de cómputo autorizados por la Institución A310.F3.P5. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.P6 y deberán asumir por escrito el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.P7 (Aplica A5T), ó;

Factor 4: Biométricos A310.F4.P1

Factor 2: Contraseñas o NIP de 6 dígitos A310.F2.b), más cualquiera de los siguientes:

Factor 3: Contraseñas de un solo uso (OTP) A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros A310.F3.P6, para ello requieren autorización A310.F3.P6 y deberán asumir por escrito el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas A310.P7 (Aplica A5T), ó;

Factor 4: Biométricos A310.F4.P1

Impedir la lectura en pantalla de la información de Autenticación

Aplica A309.F1

Aplica A309.F1

Operaciones y uso de un 2FA Categoría 3 (OTP) ó 4 (Biométrico)

 

Operaciones permitidas utilizando un 2FA A313.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A313.F1

b)   Pago de impuestos A313.F2

c)   Registro de Cuentas Destino A313.F4

d)   Alta y modificación del medio de notificación A313.F5

e)   Consultas de estados de cuenta A313.F6

f)    Contratación de otro servicio A313.F7

g)   Desbloqueo de Contraseñas o NIPs A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2

En el caso del inciso e), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente A313.F6.P3

Operaciones permitidas utilizando un 2FA A313.P1:

a)   Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A313.F1

b)   Pago de impuestos A313.F2

c)   Registro de Cuentas Destino A313.F4

d)   Alta y modificación del medio de notificación A313.F5

e)   Consultas de estados de cuenta A313.F6

f)    Contratación de otro servicio A313.F7

g)   Desbloqueo de Contraseñas o NIPs A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa A313.F1.P2

En el caso del inciso e), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente A313.F6.P3

Registro de Cuentas Destino

No requiere registro de Cuentas Destino A314.P8

Se requiere el registro de Cuentas Destino A314.P1, las cuales se habilitarán treinta minutos posteriores a su registro A314.P5

Se pueden registrar en el mismo servicio usando un 2FA Categorías 3 ó 4 A313.F4, mediante firma autógrafa A313.F1.P2, o en otro servicio A314.P1 con 2FA, Categorías 3 ó 4 A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos A314.P5

En el caso de personas morales y personas físicas con actividad empresarial, se podrá permitir el registro de un conjunto de Cuentas Destino considerándolo como una sola operación A314.P4

Notificaciones

No aplica A316.B1.P5

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos A316.B1.P1:

a)   Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios A316.B1.F1

b)   Pago de impuestos A316.B1.F2

c)   Modificación de límites de montos A316.B1.F3

d)   Registro de Cuentas Destino A316.B1.F4

e)   Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) A316.B1.F5

f)    Contratación de otro servicio o modificación de condiciones en el uso A316.B1.F6

g)   Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio A316.B1.F7

h)   Modificación de Contraseñas y NIPs A316.B1.F8

Límites de monto operativos

No aplica

No aplica

Controles para establecer límites de monto aplicables al mismo canal o a otro

Para establecer o incrementar, se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo servicio o en otro A313.F4

Para disminuir, mismo servicio con FA Categoría 2 A315.P3

Para establecer o incrementar, se requiere firma autógrafa A315.P1 o un 2FA Categoría 3 ó 4 en el mismo servicio o en otro A313.F4

Para disminuir, mismo servicio con FA Categoría 2 A315.P3

Seguridad en el envío de Contraseñas y Números de Identificación Personal

Transmisión cifrada de Información Sensible del Usuario A316.B10.F1

Transmisión cifrada de Información Sensible del Usuario A316.B10.F1

Activación / Desactivación Servicios

No aplica

No aplica

II.       GENERALES

Disposición

Detalle

Definición Factores de Autenticación

Mecanismo de autenticación, basado en características del Usuario, dispositivos o información que sólo el Usuario posea o conozca A1

Factor 1: Información proporcionada mediante la aplicación de cuestionarios en centros de atención telefónica A1)

Factor 2: Información que sólo el Usuario conoce, tales como: Contraseñas y Números de Identificación Personal A1

Factor 3: Información que sólo el usuario tiene, tales como generadores de contraseñas de un solo uso (OTP) “Tokens” o Tarjetas Bancarias con Circuito Integrado A1

Factor 4: Información biométrica. Huellas digitales, geometría de la mano A1

Operaciones Monetarias

Transacción que implique transferencias de recursos dinerarios, las cuales podrán ser A1:

Micropagos: 70 UDIs A1

Baja Cuantía: 250 UDIs diarias A1

Mediana Cuantía: 1,500 UDIs diarias A1

Montos superiores a 1,500 UDIs diarias A1

Comprobantes

Se deberá emitir un comprobante de cada una de las operaciones realizadas A316.B

Sesiones Seguras

La Sesión debe terminarse en forma automática cuando se detecte A316.B2.F1:

--    Inactividad del Usuario por más de veinte minutos A316.B2.F1.a)

--    Cuando existan cambios relevantes en la conexión del servicio de Banca por Internet A316.B2.F1.b)

Deben evitarse sesiones simultáneas A316.B2.F2 y se debe advertir al Usuario en caso de enlaces a servicios de terceros A316.B2.F3

Equipos Electrónicos o de Telecomunicaciones Dispuestos por la Institución

Adoptar medidas que impidan la instalación de dispositivos o programas que permitan que la información del Usuario sea copiada o modificada por terceros A316.B6.F1

Contar con procedimientos que permitan correlacionar la información de las operaciones no reconocidas por los clientes con la operativa de los equipos y del personal que los administra A316.B6.F2 (Aplica A2T)

Base de Datos Operaciones no Reconocidas

Deberán mantener bases de datos con información de incidencias, fallas y vulnerabilidades, así como operaciones no reconocidas por los Usuarios A316.B14

Centros de Atención Telefónica

Los centros de atención telefónica deberán mantener controles de seguridad física y lógica para evitar que la información de los clientes pueda ser extraída o copiada A316.B7.F1, delimitar funciones de operadores A316.B7.F2 y evitar el uso de medios diferentes a los autorizados A316.B7.F3

Cifrado

En la transmisión y almacenamiento de Información Sensible del Usuario, deberán utilizarse mecanismos de Cifrado con llaves criptográficas A316.B10.F1. Adicionalmente, las llaves criptográficas y el proceso de Cifrado y descifrado deberán estar instalados en dispositivos de alta seguridad (HSM) A316.B10.F4

Reporte de eventos de pérdida de información

En caso de que la Información Sensible del Usuario sea extraída, extraviada o se sospeche de algún incidente de acceso no autorizado, deberán A316.B12:

--    Dar aviso por escrito a esta Comisión en cinco días naturales A316.B12.F1

--    Realizar una investigación, enviando los resultados a esta Comisión a los cinco días naturales de concluida y notificar a los Usuarios afectados, en su caso A316.B12.F2

Prevención de Fraudes

Deberán mantener mecanismos de control para detección de eventos que se aparten de los parámetros de uso habitual de los Usuarios A316.B13

Bitácoras

Deberán mantener registros, bitácoras, huellas de auditoría y grabaciones de voz relativos a A316.B15.F1:

--    Accesos a los Medios Electrónicos A316.B15.F1.a)

--    Datos de las operaciones realizadas (fechas, horas, dispositivos de acceso) A316.B15.F1.b) y c)

Deberán mantener controles para que la información registrada en los equipos críticos de cómputo y telecomunicaciones utilizados en las operaciones de Banca Electrónica sea consistente. A316.B15.F2

Revisiones de Seguridad

Anualmente, deberán realizar revisiones de seguridad que comprendan A316.B17:

--    Mecanismos de Autenticación A316.B17.F1

--    Configuración y control de acceso de la Infraestructura de Cómputo y Telecomunicaciones A316.B17.F2

--    Actualizaciones de software (parches) A316.B17.F3

--    Análisis de vulnerabilidades A316.B17.F4

--    Identificación de modificaciones al software original A316.B17.F5

--    Infraestructura tecnológica, sistemas y procesos asociados a os Medios Electrónicos A316.B17.F6

--    Análisis metódico de aplicativos críticos relacionados con servicios de Banca Electrónica A316.B17.F7

Adicionalmente, deberán mantener esquemas de monitoreo permanente A316.B17.P4

Acciones correctivas

Deberán implementar las acciones correctivas que la Comisión les requiera, como resultado de la identificación de riesgos asociados con el uso de los servicios de Banca Electrónica A316.B21

Medidas preventivas y detección

La Dirección General deberá asegurar que la Institución cuenta con medidas preventivas, de detección, disuasivas y procedimientos de respuesta a incidentes de seguridad, controles y medidas de seguridad informática para mitigar amenazas, vulnerabilidades derivadas del uso de la Banca Electrónica y que puedan afectar las operaciones de la Institución A316.B20

Acciones contingentes

La Comisión podrá autorizar que las Instituciones realicen operaciones en términos distintos a los establecidos en las Disposiciones en caso de catástrofes naturales o situaciones que afecten la adecuada oferta a nivel nacional de operaciones o servicios bancarios que justifiquen el uso masivo de los Medios Electrónicos en forma temporal A316.B22