MODIFICACIONES y adiciones a las Disposiciones de carácter general en materia de operaciones de los Sistemas de Ahorro para el Retiro.

Viernes 16 de Noviembre de 2018

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional del Sistema de Ahorro para el Retiro.

MODIFICACIONES Y ADICIONES A LAS DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE
OPERACIONES DE LOS SISTEMAS DE AHORRO PARA EL RETIRO
El Presidente de la Comisión Nacional del Sistema de Ahorro para el Retiro, con fundamento en lo previsto en los artículos 1o, 2o, 5o fracciones I, II, III, IV, VI, VII, XIII bis y XVI, 12 fracciones I, VI, VIII y XVI, 18, 18 bis, 19, 20, 21, 25, 26, 29, 30, 31, 36, 37, 37 A, 37 C, 39, 40, 41, 43, 47, 47 bis, 53, 57, 58, 59, 64, 64 bis, 64 ter, 65, 70, 74,74 bis, 74 ter, 74 quáter, 74 quinquies, 76, 77, 78, 79, 80, 88, 89 90 fracciones II, IV y XIII, 91, 99, 111 y 113 de la Ley de los Sistemas de Ahorro para el Retiro; 167, 175, 176, 177, 179, 181, 182, 187, 188, 191 fracción II, 192, 195, 198 y 200 de la Ley del Seguro Social; 2o., 13, 21, 26, 64, 76, 77, 78, 83, 87, 91, 93, 97, 98, 100, 101, 102, 105 fracción VII, 106, 108 fracción II, inciso c, 119 y 123 fracción II, así como Quinto, Séptimo, Décimo, Décimo Primero, Vigésimo Segundo, Vigésimo Cuarto, Vigésimo Quinto, Vigésimo Sexto y Vigésimo Séptimo Transitorios del Decreto por el que se expide la Ley del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado; 1o., 5o. último párrafo, 29 fracción II, 34, 38, 40, 43, 43 bis y Octavo Transitorio de la Ley del Instituto del Fondo Nacional de la Vivienda para los Trabajadores; 1o, 14, 15, 16, 23, 25, 28, 29, 30, 31, 32, 33, 34, 35, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 59 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 106, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 139, 140 y 154 del Reglamento de la Ley de los Sistemas de Ahorro para el Retiro; 1, 2 fracción III y 8o. primer párrafo del Reglamento Interior de la Comisión Nacional del Sistema de Ahorro para el Retiro, y
CONSIDERANDO
Que la tendencia global de utilizar herramientas tecnológicas denominadas "RegTech" para el cumplimiento de requerimientos regulatorios, hace esencial permitir a los Participantes en los Sistemas de Ahorro para el Retiro, el desarrollo e implementación de modelos de autenticación biométrica y mecanismos no presenciales para facilitar la realización de cualquier trámite, lo anterior con la finalidad de reducir significativamente los costos del cumplimento regulatorio y optimizar los procesos inherentes;
Que es imperante que las Administradoras, en cumplimiento al objeto de atender al interés de los Trabajadores que se encuentran más cercanos al retiro, implementen un mecanismo de contacto con este sector, para informarles sobre los derechos relacionados con su Cuenta Individual, así como las opciones de retiro y los trámites que deben llevar a cabo para que ejerzan, en su caso, sus derechos pensionarios de forma oportuna e informada;
Que en los últimos años, los avances en el uso de tecnologías de la información y comunicaciones en el Sistema Financiero Mexicano, han traído múltiples ventajas, sin embargo al mismo tiempo han ocasionado el incremento del número de ataques informáticos mermando la reputación, credibilidad, y patrimonio de algunos sectores financieros, lo que hace imperante que las autoridades financieras y sus entidades reguladas tomen acciones para detectar y prevenir estos riesgos;
Que el 24 de mayo de 2018, las Autoridades del Sector Financiero Mexicano, la Procuraduría General de la República y las Asociaciones Gremiales de las diversas entidades financieras del país, firmaron las Bases de Coordinación en materia de Seguridad de la Información, derivado de lo anterior, esta Comisión en el ámbito de sus respectiva competencia, considera necesario la actualización de la regulación en materia de seguridad de la información, particularmente de los requisitos y prácticas que las Administradoras, Empresas Operadoras y Prestadoras de Servicio deben observar para mitigar los actos que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información en los Sistemas de Ahorro para el Retiro;
Que con la finalidad de facilitar el ejercicio efectivo de los derechos de los Trabajadores susceptibles de requerir la Constancia sobre implicaciones del Traspaso, se considera necesario que dicho proceso se lleve a cabo a través de la Aplicación Móvil, lo cual permitirá reducir costos tanto para los solicitantes como para los Participantes de los Sistemas de Ahorro para el Retiro, en función de que la misma podrá ser solicitada en cualquier momento y de forma remota;
Que con el objetivo de implementar políticas públicas de mejora regulatoria para el perfeccionamiento de las regulaciones y la simplificación de los trámites en los Sistema de Ahorro para el Retiro, resulta necesario simplificar el proceso de Registro y Traspaso, de modo que se eficienten los tiempos de atención y respuesta, por lo que es conveniente prescindir de diversos elementos relacionados con la constancia de Registro y Traspaso;
Que con el objeto de regular y mantener el buen funcionamiento de los Sistemas de Ahorro para el Retiro, es procedente dictar las disposiciones pertinentes que regulen la participación de terceros que auxilien a las Administradoras en la implementación de modelos tecnológicos, iniciativas que estimulen el ahorro voluntario u otros aspectos de inclusión financiera a través innovaciones, pilotos y estudios;
Que con el propósito de impulsar la inclusión financiera en los Sistemas de Ahorro para el Retiro, es necesario regular y dar seguridad jurídica a las Administradoras, sobre la administración de las Cuentas Individuales de los menores de edad con precisiones normativas respecto a sus características y funcionamiento, y
Que la Secretaría de Hacienda y Crédito Público a través de esta Comisión, da cumplimiento a lo establecido en el artículo 78 de la Ley General de Mejora Regulatoria, así como al artículo Quinto del "Acuerdo que fija los lineamientos que deberán ser observados por las dependencias y organismos descentralizados de la Administración Pública Federal, en cuanto a la emisión de los actos administrativos de carácter general a los que les resulta aplicable el artículo 69-H de la Ley Federal de Procedimiento Administrativo", conforme a lo detallado en presentes modificaciones y adiciones, mismas que derogan cuarenta y un obligaciones que generan beneficios y ahorros superiores a los costos de implementación, ha tenido a bien expedir las siguientes:
MODIFICACIONES Y ADICIONES A LAS DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE
OPERACIONES DE LOS SISTEMAS DE AHORRO PARA EL RETIRO
PRIMERO.- Se ADICIONAN los artículos 1, fracción LII bis, 4, con la fracción VII; 14, con un cuarto párrafo; 23 ter; 62 bis; 62 ter; 90, con las fracciones V y VI y un segundo párrafo en la fracción IV; 90 bis; 149 bis con un cuarto párrafo; 160, fracción VII; 180, fracción III con un inciso c y un cuarto párrafo; 210 quáter; al Capítulo III "de la administración de cuentas individuales", una sección VII "De la Administración de las Cuentas Individuales de los menores de edad", con los artículos 243 bis y 243 ter; 248, con un cuarto párrafo, recorriéndose los actuales párrafos cuarto y quinto para quedar como quinto y sexto respectivamente, 274 bis; 274 ter; 274 quáter; 337 bis; 337 ter; se MODIFICAN los artículos 1, fracciones IV, IX bis, XII, LXI bis, LXVI, LXXIII, CXXX bis y CXXXVI; 4, fracciones V y VI; 5, sexto párrafo; 12, segundo párrafo; 14, tercer párrafo; 23 bis; 57 fracción II; 90, fracción III; 92, fracción II, inciso b, inciso c, del inciso d, su numeral i, inciso f y su numeral iv; 129 segundo párrafo; 139; 148, fracciones III y V; 149 bis segundo párrafo; 149 bis A, inciso b; 149 bis E, fracciones I y II; 150, fracción III; 153, primer párrafo; 155 primer párrafo; 156 fracción I, inciso a; 168, fracciones III y VIII y último párrafo; 172, primero y segundo párrafos; 173, fracción III; 176 primer párrafo; 179, segundo párrafo; 180, fracción I, inciso e, fracción III, segundo y tercer párrafos, y el inciso a; 182, primer párrafo; 189, fracciones II, para quedar como II y II bis, VI y XI; 195 tercer párrafo; 210 bis, primero, segundo y tercer párrafos; 214, primer párrafo; 217, primer y tercer párrafo, y fracción II; 219, fracción VI; 229, primero, segundo y cuarto párrafos; 248, primero y tercer párrafos; 249; 250; 258, primer párrafo; la denominación de la Sección I del Capítulo VIII; 296, primero y segundo párrafos, y el inciso a del quinto párrafo; 297; 298; 299; 300, tercero y cuarto párrafo; 301 primero y segundo párrafos; 302; 309, segundo párrafo; 329; 346 primer párrafo; 387 bis, último párrafo; 406 ter, fracción II; 419, primer párrafo; 437; el Anexo B, fracciones III, V y último párrafo, y Anexo M y se DEROGAN los artículos, 9 fracciones III y VI; 136; 137; 138; 148, su último párrafo y el inciso a de la fracción II, 158, fracciones II y III, del segundo párrafo sus incisos b y c; 160, fracción IV; 168, el inciso a de la fracción II; 183, el inciso a de la fracción I; 185, fracciones II y III y los incisos b y c del segundo párrafo; 210 bis, su último párrafo y las fracciones I y II del primer párrafo, y 424, el párrafo segundo de la fracción I, para quedar en los siguientes términos:
DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE OPERACIONES DE LOS SISTEMAS DE
AHORRO PARA EL RETIRO
TÍTULO PRIMERO
DISPOSICIONES GENERALES
"Artículo 1. ...:
I. al III ...
IV.           Agente de Servicio, a la persona contratada o subcontratada por la Administradora, autorizada para intervenir en la conformación, actualización y validación de los Expedientes de Identificación del Trabajador, así como para recibir y atender las solicitudes de servicios de conformidad con las disposiciones en materia de servicio a los usuarios del Sistema de Ahorro para el Retiro que emita la Comisión, así como los demás trámites que los Trabajadores soliciten ante las Administradoras en términos de las presentes disposiciones de carácter
general;
V. al IX. ...
IX bis.      Aplicación Móvil, a la aplicación informática de operación remota conformada por un conjunto de módulos informáticos que permita corroborar los datos e información de los Trabajadores que prevé el Factor de autenticación categoría 3 a que se refiere el Anexo B de las presentes disposiciones de carácter general y que de manera parcial o total permita, a través de dichos módulos, procesar información generada por los Trabajadores de manera directa o a través de Empresas de Apoyo, misma que se envía a las Administradoras o a las Empresas Operadoras para su procesamiento;
X. al XI. ...
XII.          Aportaciones de Ahorro a Largo Plazo, los montos enterados por los Trabajadores a la subcuenta prevista en la fracción VII del artículo 35 del Reglamento, y a los que se les aplique el estímulo fiscal a que se refiere el artículo 185 de la Ley del Impuesto Sobre la Renta;
XIII. al LII. ...
LII bis.     Empresa de Apoyo, las personas morales que contraten las Empresas Operadoras o las Administradoras, directamente o a través de las Empresas Operadoras, para prestar servicios de ventanilla a los Trabajadores para facilitar el Registro Móvil y otros servicios que la Comisión autorice, de conformidad con las presentes disposiciones de carácter general;
LIII. al LXI. ...
LXI bis.    Expediente Móvil, al conjunto de imágenes e información individual, ordenada y detallada que se almacene en Medios Electrónicos conforme al artículo 149 bis D de las presentes disposiciones de carácter general y que permiten la identificación de las personas en los Sistemas de Ahorro para el Retiro;
LXI ter. a LXV. ...
LXVI.       Firma Biométrica, la firma que hace una persona a través de la impresión de sus elementos biométricos, capturados y almacenados en Medios Electrónicos, que hacen constar su voluntad y permiten corroborar su identidad en los Sistemas de Ahorro para el Retiro, a través del reconocimiento de características unívocas biométricas registradas en el Enrolamiento Biométrico, ya sea a través de la huella digital, o el reconocimiento de la voz, facial o cualquier otro elemento biométrico autorizado por la Comisión;
LXVII al LXXII. ...
LXXIII.     Folio de Queja o Servicio, al folio único que las Administradoras deberán asignar a cada una de las solicitudes de servicios o de quejas que presenten los Trabajadores o los Beneficiarios, en su caso, ya sea a través de la Unidad Especializada, oficinas, sucursales, del centro de atención telefónica de la Administradora, la Página Web o cualquier otro medio de atención que las Administradoras tengan a disposición de los Trabajadores y el público en general;
LXXIV. al CXXX. ...
CXXX Bis.    Sello Biométrico Único, la cadena de datos generada y asignada por las Empresas Operadoras o las Administradoras que cuenten con la autorización de la Comisión a cada Firma Biométrica mediante la cual se verifica la identidad biométrica del Trabajador, funcionarios y empleados de las Administradoras que correspondan de conformidad con el Enrolamiento Biométrico registrado en la Base de Datos Nacional SAR;
CXXXI. al CXXXV. ...
CXXXVI.  Sistema de Recepción de Información, al administrado por las Empresas Operadoras a través del cual las Dependencias, Entidades y Aseguradoras deberán realizar el pago de Cuotas y Aportaciones, Ahorro Voluntario, descuentos y demás pagos, que en su caso, deban efectuar a las Cuentas Individuales los Trabajadores ISSSTE;
CXXXVII. al CLXIV. ..."
"Artículo 4. ...
El Manual de Políticas y Procedimientos deberá contener cuando menos los siguientes apartados:
 
I. a IV. ...
V.           Disposición de recursos,
VI.          Seguridad de la información, continuidad en la operación y Riesgo Operativo, y
VII.          Aquello que se establezca de conformidad con las demás disposiciones de carácter general que emita la Comisión."
...
...
...
...
...
..."
"Artículo 5. ...
...
...
...
...
En el Manual de Procedimientos Transaccionales se detallará la operación de los Medios Electrónicos y del Sistema de Recepción de Información, la participación que deberán ejecutar las Administradoras, Institutos de Seguridad Social, Trabajadores, Dependencias, Entidades y Aseguradoras, así como para el intercambio de información para el entero y depósito de recursos, el registro y la actualización de información y la demás información necesaria para el depósito de los recursos en las Cuentas Individuales de los Trabajadores.
..."
"Artículo 9. ...:
I. a II. ...
III.    Se deroga.
IV. al V. ...
VI. Se deroga.
VII. al IX. ...
...
...
a) al f)
..."
"Artículo 12. ...
Las solicitudes de servicios de administración de cuenta que las Administradoras reciban de acuerdo con lo previsto en el presente artículo, se deberán atender, dar seguimiento y resolver dentro de los plazos previstos para cada uno de los procesos en las presentes disposiciones de carácter general. Asimismo, las Administradoras deberán asignar un Folio de Queja o Servicio, a cada una de las solicitudes de los Trabajadores o Beneficiarios que reciban en términos del presente artículo.
..."
"Artículo 14. ...
...
Por lo menos una vez al año, las Administradoras deberán contactar telefónicamente o a través de correo certificado con acuse de recibo a los Trabajadores que tengan 60 años de edad o más, que no hayan iniciado con su trámite de pensión, con el fin de informarles las características de su Cuenta Individual, las opciones de retiro con que cuentan y los trámites que deberán llevar a cabo para obtener la pensión que en su caso les corresponda. Las Administradoras deberán conservar las evidencias del contacto con el Trabajador. Cuando el Trabajador tenga 65 años o más, la Administradora de que se trate deberá comunicarle al Trabajador en el envío de cada estado de cuenta que, en su caso, cuenta con recursos que puede disponer de acuerdo con lo que se establece en el artículo 408 de las presentes disposiciones de carácter general. Mientras el Trabajador no haya sido contactado conforme a lo establecido en este párrafo y mientras no inicie con su trámite de pensión, dicho envío deberá ser a través de correo certificado, o a través de correo electrónico si así lo solicitó expresamente el Trabajador y las Administradoras deberán conservar las evidencias del envío del correo y el resultado del contacto con el Trabajador.
Las Administradoras sólo podrán suspender el intento de contacto y el envío de los comunicados al Trabajador establecidos en los párrafos que anteceden cuando después del tercer intento de contacto se cercioren que la dirección proporcionada no existe, o que el Trabajador o el Trabajador no Afiliado no tiene su domicilio en el lugar indicado, así como cuando no cuenten con datos que le permitan contactar al Trabajador."
"Artículo 23 bis. Las Empresas Operadoras deberán generar y enviar a la Administradora de que se trate, un Sello Biométrico Único cada vez que el Trabajador proporcione su Firma Biométrica, para cualquiera de los servicios presenciales a que se refiere el artículo 209 de las presentes disposiciones de carácter general, conforme a los criterios, lineamientos y excepciones que se establezcan en el Manual de Procedimientos Transaccionales."
"Artículo 23 ter. Las Administradoras podrán implementar el uso de modelos de autenticación que utilicen elementos de validación biométrica para generar un folio que sea utilizado en sustitución al factor de autenticación alternativo del Sello Biométrico Único; para tal efecto deberán solicitar a la Comisión la autorización a la que se refiere el artículo 62 ter de las presentes disposiciones de carácter general."
"Artículo 57. ...:
I. ...;
II. Inscribir sus acciones en el Registro Nacional de Valores y en una bolsa de valores autorizada para organizarse y operar en términos de la Ley del Mercado de Valores, y
III. ..."
"Artículo 62 bis.- Las Administradoras podrán desarrollar modelos de autenticación biométrica que sustituyan el Sello Biométrico Único y que permitan identificar a los Trabajadores cuando estos soliciten cualquier servicio a que se refiere el artículo 209 de las presentes disposiciones de carácter general. Dichos modelos deberán estar diseñados de forma que se vinculen a la infraestructura desarrollada por las Empresas Operadoras de modo que éstas puedan reconocer los folios emitidos por los modelos referidos.
Para efectos del presente artículo, los modelos de autenticación biométrica son aquellos procesos de autenticación En Línea y Tiempo Real que confrontan los datos biométricos proporcionados por el Trabajador contra identificaciones oficiales, expedientes de identificación y bases de datos oficiales operadas por autoridades de la Administración Pública Federal, Organismos Constitucionales Autónomos y entidades nacionales autorizadas, supervisadas y reguladas por autoridades financieras de la Administración Pública Federal, que permiten identificar a los Trabajadores, cuando estos acudan a solicitar cualquiera de los servicios a los que se refiere el artículo 209 de las presentes disposiciones de carácter general.
Las Administradoras que implementen los modelos a que se refiere esté artículo, deberán celebrar con los terceros referidos en el párrafo anterior, los convenios de confidencialidad necesarios para que la información de los Trabajadores se utilice únicamente para la gestión del trámite que éstos soliciten. Las Administradoras serán responsables en todo momento del cumplimiento de la normatividad en materia de protección de datos personales que resulte aplicable.
"Artículo 62 ter. Las Administradoras que requieran desarrollar los modelos de autenticación biométrica a que se refiere el artículo anterior, deberán presentar a la Comisión una solicitud de autorización la cual deberá contener al menos lo siguiente:
I.            Objeto;
II.            Servicios que se prestarán utilizando el modelo;
III.           Descripción del modelo;
 
IV.          Fecha de inicio de operaciones;
V.           Análisis de viabilidad técnica y operativa del modelo de autenticación biométrica para su operación;
VI.          Descripción de los mecanismos que garanticen la seguridad, integridad y confidencialidad de la información biométrica proporcionada por el Trabajador a través del modelo de autenticación biométrica;
VII.          Generación y disponibilidad de bitácoras que sean auditables y que permitan verificar aquella información que sirva como evidencia para la determinación el cumplimiento del modelo de autenticación biométrica; dichas bitácoras deberán estar a disposición de la Comisión, y
VIII.         Cualquier otro elemento que la Administradora considere que sea necesario para facilitar el análisis de la solicitud por parte de la Comisión.
La Comisión en términos de lo previsto por la Ley, podrá requerir a la Administradora solicitante cualquier información adicional que considere necesaria para en su caso, pronunciarse respecto de la autorización del modelo.
La autorización que en su caso emita la Comisión, tendrá una vigencia de tres años, la cual podrá ser renovada por periodos iguales, siempre que dicha solicitud sea presentada por la Administradora interesada al menos treinta días hábiles previos a la fecha del vencimiento.
La confronta y comparación que se realice utilizando los modelos de autenticación biométrica a que se refieren los párrafos que anteceden, podrá ser realizada por las Administradoras a través de terceros que hayan sido evaluados por las propias Administradoras, considerando un análisis de riesgos y vulnerabilidades, y que de acuerdo a dicha evaluación, la Administradora determine que el modelo cumple con las características señaladas en el Anexo B, Factores de Autenticación, de las presentes disposiciones de carácter general.
Las Administradoras deberán asegurarse que el funcionamiento y operación de los modelos biométricos que se les autoricen en términos del presente artículo, se sujete a la normatividad vigente en los Sistemas de Ahorro para el Retiro.
Las Empresas Operadoras deberán aceptar los folios emitidos por los modelos de autenticación biométrica autorizados por la Comisión.
En caso de que los modelos de autenticación biométrica autorizados, dejen de cumplir con los requisitos necesarios para su operación o no garanticen la seguridad de las transacciones o de la información biométrica del Trabajador, la Comisión podrá ordenar la suspensión de las operaciones de dichos modelos o revocar la autorización de los mismos."
"Artículo 90. ...:
I. al II. ...
III.           Controlar el uso y acceso a la información, que obtengan en ejercicio de sus funciones o a través de los Agentes Promotores, Agentes de Servicio, funcionarios, empleados y demás personas que les presten sus servicios; así como verificar que éstos no almacenen, acumulen, difundan o concentren datos personales de los Trabajadores, para fines distintos a los establecidos a los Sistemas de Ahorro para el Retiro.
              ...
IV.          ...
              Los planes de contingencia a que se refiere la presente fracción deberán de actualizarse al menos una vez al año o antes, en caso de que el participante realice una modificación a la infraestructura, proveedores, procesos o responsables de la operación; asimismo, deberán de realizar pruebas integrales de los planes de contingencia abarcando todos los procesos que soporten la operación y que permitan seguir brindando todos los servicios a los usuarios, así como cumplir con todos los requerimientos que establece la normatividad vigente con una periodicidad que no exceda los doce meses calendario contado a partir de la última prueba realizada.
V.           Contar con los recursos humanos y materiales necesarios que les permitan operar las
tecnologías de la información con las que cuenten de conformidad con estándares de seguridad tecnológica y cibernética que tengan por objetivo la protección de la información relacionada con los Sistemas de Ahorro para el Retiro, los datos personales de los Trabajadores y sus recursos.
VI.          Integrar un área o unidad específica que se constituya dentro de la estructura de la Administradora, las Empresas Operadoras y Prestadoras de Servicio, encargada de los aspectos relacionados con la administración del Riesgo Tecnológico, seguridad tecnológica y cibernética así como de la seguridad de la información que se procese, transmita y resguarde a través de tecnologías de la información a que se refiere el artículo 92 de las presentes disposiciones de carácter general.
El área o unidad a que se refiere esta fracción deberá de contar con personal certificado en materia de seguridad cibernética; dichas certificaciones deberán estar avaladas por organismos internacionales de estandarización.
Adicionalmente, podrán contar con mecanismos de transferencia de riesgos contratados con entidades de seguros u otras entidades que los provean para cubrir o mitigar lo siguiente:
a.     Eventos que vulneren la seguridad tecnológica;
b.     Eventos que vulneren la seguridad cibernética;
c.     Eventos que vulneren la seguridad de la información;
d.     Eventos que vulneren la seguridad de las tecnologías de la información, y
e.     Eventos que actualicen cualquier otro Riesgo Tecnológico."
"Artículo 90 bis. Las Administradoras, Empresas Operadoras y Prestadoras de Servicio, a través de sus asociaciones gremiales podrán establecer grupos, canales o medios de comunicación que les permitan identificar, comunicar, difundir o detectar posibles vulnerabilidades, amenazas, riesgos tecnológicos y/o riesgos de procesos operativos, de manera que les permita atender o reaccionar de manera oportuna ante amenazas o riesgos a la seguridad, confidencialidad, disponibilidad de la información de los Sistemas de Ahorro para el Retiro."
"Artículo 92. ...:
I. ...
              a. al h. ...
              ...
              ...
II.            ...:
a.     ...
b.     Evaluar al menos una vez al año, la suficiencia, integridad, consistencia y grado de integración de los sistemas tecnológicos que utilicen en el procesamiento de información, así como para el análisis de riesgos y de su contenido;
c.     Evaluar al menos una vez al año, la vulnerabilidad a que puedan estar expuestos en el hardware, software, sistemas, aplicaciones, seguridad, recuperación de información, redes y cualquier otro tipo de tecnología de la información que implementen, por errores de procesamiento u operativos, fallas en los procedimientos, capacidades inadecuadas e insuficiencias de los controles instalados, entre otros. Asimismo, al menos una vez al año, deberán de realizar una auditoría, a través de una empresa cualificada y certificada en materia de seguridad de la información por un organismo internacional de estandarización, sobre las vulnerabilidades a que se refiere el párrafo que antecede, debiendo reportar los resultados de la auditoría a la Comisión a más tardar en el último día hábil del mes inmediato posterior a la recepción del dictamen correspondiente, incluyendo un programa de trabajo para fortalecer y minimizar las vulnerabilidades detectadas;
d.     ...
i.      Mantener políticas y procedimientos actualizados que aseguren en todo momento los niveles de calidad de los servicios, así como la seguridad e integridad de la información. Lo anterior, con énfasis en los casos en los que las Administradoras contraten la prestación de servicios por parte de proveedores externos, para el
procesamiento y almacenamiento de dicha información;
ii.     ...
iii.    ...
e.     ...
f.     En el caso de las Páginas Web, dispositivos móviles centros de atención telefónica, en las Unidades Especializadas, oficinas, sucursales u otros Medios Electrónicos, que estén a disposición de los Trabajadores, considerar lo siguiente:
i.a iii. ...
iv.    Diseñar, implementar y mantener actualizados planes de contingencia, a fin de asegurar la capacidad y continuidad de los sistemas implementados para prestar distintos servicios y operaciones, a través de Medios Electrónicos. Dichos planes deberán comprender, además, las medidas necesarias que permitan minimizar, controlar y reparar los efectos generados por eventualidades que, en su caso, llegaran a afectar el continuo y permanente funcionamiento de los servicios.
       Los planes de contingencia a que se refiere el presente numeral deberán de actualizarse al menos una vez al año o antes, en caso que el participante realice una modificación a la infraestructura, sistemas, proveedores, procesos o responsables de la operación. Asimismo deberán de realizar pruebas a dichos planes de contingencia con una periodicidad que no exceda los doce meses calendario contado a partir de la última prueba realizada.
v.     ...
       1 y 2. ...
III. ...
              a. al d. ..."
"Artículo 129. ...
Para tal efecto, las Empresas Operadoras deberán determinar la edad de los Trabajadores, tomada con base en los lineamientos que para tal efecto establezca la Comisión, e integrar en grupos homogéneos las Cuentas Individuales para asignación y reasignación, distinguiendo en el último caso si éstas son Reasignadas por primera vez o por Reasignaciones subsecuentes, tomando en consideración la edad de los Trabajadores, el salario base de cotización, el número de aportaciones que registren las cuentas individuales, y la ubicación geográfica de la subdelegación del IMSS, conforme a lo previsto en el Manual de Procedimientos Transaccionales."
"Artículo 136. Se deroga."
"Artículo 137. Se deroga."
"Artículo 138. Se deroga."
"Artículo 139. Las Empresas Operadoras deberán asignar un folio a la Solicitud de Registro o Traspaso que sea único e irrepetible mismo que deberá ajustarse a los lineamientos, criterios y características que para tal efecto éstas establezcan en el Manual de Procedimientos Transaccionales. El folio deberá quedar impreso en dicha solicitud.
Las Empresas Operadoras deberán enviar en Línea y en Tiempo Real al Trabajador el folio de la Solicitud de Registro o Traspaso. Las Empresas Operadoras deberán establecer los criterios que permitan que el folio se asocie a la información de la Cuenta Individual del Trabajador y a la contenida en la solicitud de Registro o Traspaso.
Los folios de las Solicitudes de Registro o Traspaso tendrán una vigencia de diez días hábiles contados a partir de su fecha de emisión. Dentro de ese plazo, los folios estarán vigentes hasta la fecha de firma de las Solicitudes de Registro o Traspaso."
"Artículo 148. ...:
I. ...
II.            Asegurarse que el Trabajador asiente su nombre completo, Firma Biométrica y Firma Manuscrita Digital, con los que manifieste que conoce el alcance, su contenido y que es su voluntad realizar el trámite, en los siguientes documentos:
 
a.     Se deroga.
b. al d. ...
...
III.           Obtener el Folio para la Solicitud de Registro a la que hace referencia el artículo 139 anterior;
IV. ...
V.           Registrar y almacenar un video que contenga la manifestación del Trabajador en la que exprese su consentimiento para el Registro y confirme sus datos personales y de contacto, de conformidad con las características establecidas en el Manual de Procedimientos Transaccionales. Las Administradoras serán responsables del resguardo y conservación del video, debiendo mantenerlo a disposición de la Comisión e implementar las medidas de seguridad necesarias para garantizar que no sea manipulable.
Se deroga."
"Artículo 149 bis. ...:
I. al II. ...
La solicitud de Registro Móvil tendrá una vigencia de 5 días hábiles contados a partir de la generación de la solicitud de Registro Móvil realizada por el Trabajador. No se podrá realizar una nueva solicitud de Registro Móvil para un mismo Trabajador durante la vigencia de la solicitud o en su caso, hasta que dicha solicitud sea rechazada por la Administradora. La Comisión establecerá el diseño de la solicitud de Registro Móvil.
...
Cuando las Administradoras directamente o a través de Empresas de Apoyo faciliten el trámite de Registro Móvil a través de alguno de los módulos de la Aplicación Móvil en dispositivos electrónicos que no sean propiedad del Trabajador, deberán grabar al momento de realizar el trámite del Registro Móvil, un video que contenga la manifestación del Trabajador en la que exprese su consentimiento para el Registro Móvil y confirme sus datos personales y de contacto, de conformidad con las características establecidas en el Manual de Procedimientos Transaccionales, dicho video deberá ser almacenado por las Administradoras. Asimismo, las Administradoras deberán mantener a disposición de la Comisión dichos videos e implementar las medidas de seguridad necesarias para garantizar que los datos e información que se genere no sean manipulables."
"Artículo 149 bis A. ...:
a. ..., y
b.            Marcar la solicitud de Registro Móvil como pendiente de certificación en la Base de Datos Nacional SAR, cuando se trate de Trabajadores asignados o pendientes de asignar, de conformidad con lo dispuesto en el Manual de Procedimientos Transaccionales.
..."
"Artículo 149 bis E. ...:
I.            En caso de que el Trabajador que solicite el Registro Móvil sea Asignado solicitar a las Empresas Operadoras la certificación del Registro Móvil para actualizar los datos en la Base de Datos Nacional SAR, y
II.            En caso de que el Trabajador que solicite el Registro Móvil sea No Afiliado solicitar a las Empresas Operadoras que se exente del proceso de depuración de la Base de Datos Nacional SAR.
...
...
..."
"Artículo 150. ...:
I. al II. ...
a. al e. ...
III.           Folio de la Solicitud de Registro o el folio que lo sustituya y que sea generado por las Empresas Operadoras mediante la Aplicación Móvil;
 
IV. al V. ...
VI. ...
a. al c. ...
VII y VIII. ...
...
..."
"Artículo 153. Las Administradoras deberán asegurarse que los Trabajadores o Beneficiarios, en su caso, asienten su Firma Manuscrita Digital, tratándose de Trabajadores, adicionalmente deberán asentar su Firma Biométrica en la Solicitud de Registro, a través de los Medios Electrónicos que las Administradoras pongan a su disposición, una vez que la Solicitud se encuentre debidamente integrada.
..."
"Artículo 155. Las Administradoras, a través de su área de operaciones, deberán establecer controles de verificación orientados a asegurar la identidad y garantizar el ejercicio de la voluntad de los Trabajadores, siendo la aplicación de los controles responsabilidad exclusiva de las Administradoras. Los controles de verificación que establezcan las Administradoras, deberán considerar, al menos, la revisión de una muestra estadísticamente representativa con un intervalo de confianza no menor al noventa por ciento, de las manifestaciones de los Trabajadores almacenadas en los videos obtenidos al momento de la tramitación de la Solicitud de Registro, contra la información contenida en la Solicitud de Registro.
...
...
...
...
...
..."
"Artículo 156. ...:
I.            La medición del riesgo de la gestión del proceso, mediante un sistema de riesgo por puntajes que incluya, al menos:
a.     Los resultados de la verificación de las manifestaciones de los Trabajadores en los videos obtenidos al momento del trámite de Registro, y
b.     ...
II. a IV. ...
..."
"Artículo 158. ...:
I.            ...
II.            Se deroga.
III.           Se deroga.
...:
a.            ...
b.            Se deroga.
c.            Se deroga.
...
...
...."
"Artículo 160. ...:
 
I. al III. ...
IV.          Se deroga.
V.al VI. ...
VII.          Que el número celular registrado por el Trabajador en la Solicitud de Registro, en su caso, asociado a la Aplicación Móvil, no pertenezca al celular de otro Trabajador registrado en la Base de Datos Nacional del SAR durante al menos un periodo de cuatro meses;
...:
a) y b) ...
..."
"Artículo 168. ...:
I.            ...;
II.            ...:
              a. Se deroga.
              b. al d. ...
              ...
III.           Obtener el Folio para la Solicitud de Traspaso a la que hace referencia el artículo 139 anterior;
IV.          ...;
V.           ...:
              a. a c. ...
VI. al VII. ...
VIII.         Registrar y almacenar un video que contenga la manifestación del Trabajador en la que exprese su consentimiento para el Traspaso y confirme sus datos personales y de contacto, de conformidad con las características establecidas en el Manual de Procedimientos Transaccionales. Las Administradoras serán responsables del resguardo y conservación del video, debiendo mantenerlo a disposición de la Comisión e implementar las medidas de seguridad necesarias para garantizar que no sea manipulable.
Las Administradoras que opten por el uso de la Aplicación Móvil, podrán sustituir el Folio del Estado de Cuenta y la imagen digitalizada del mismo, a que hace referencia la fracción V del presente artículo."
"Artículo 172. Las Administradoras Receptoras deberán utilizar la información personal contenida en los Expedientes de Identificación del Trabajador, para generar y pre-llenar las Solicitudes de Traspaso, contratos de administración de fondos para el retiro y Documentos de Rendimiento Neto. Las Administradoras Receptoras deberán utilizar mecanismos que garanticen la integridad, seguridad y confidencialidad de la información para extraer automáticamente la información de los Expedientes de Identificación de los Trabajadores y pre-llenar la información en los documentos a que se refiere el presente artículo.
Las Administradoras deberán asegurarse que por ningún motivo la información contenida en el Expediente de Identificación del Trabajador se encuentre disponible o se almacene en algún dispositivo o medio electrónico o bien, cualquier otra forma, por un periodo mayor a diez días hábiles a partir de la fecha de extracción de la información. La información extraída del Expediente de Identificación del Trabajador deberá existir únicamente en la Solicitud de Traspaso, el contrato de administración de fondos para el retiro y el Documento de Rendimiento Neto; la cual deberá permanecer resguardada en los sistemas informáticos que la Administradora Receptora determine, bajo los mecanismos que garanticen la integridad, seguridad, confidencialidad de la información, así como bitácoras de auditoría que permitan verificar la correcta gestión de la información del Expediente consultado.
...
..."
"Artículo 173. ...:
I. y II. ...:
a. al e. ...;
III. Folio de la Solicitud de Traspaso o el folio que lo sustituya y que sea generado por las Empresas Operadoras mediante la Aplicación Móvil;
 
IV. al X. ...
...
...
..."
"Artículo 176. Las Administradoras Receptoras deberán asegurarse que los contratos de administración de fondos para el retiro, los Documentos de Rendimiento Neto y las Solicitudes de Traspaso que pongan a disposición de los Trabajadores cumplan con los requisitos previstos en los Anexos "A", "C" y "E" de las presentes disposiciones de carácter general, se encuentren vigentes, personalizados, así como que los campos para que los Trabajadores y los Agentes Promotores ingresen su Firma Biométrica y su Firma Manuscrita Digital se encuentren dentro del mismo documento y a la vista del Trabajador.
...
..."
"Artículo 179. ...
Los números de folio que asignen las Administradoras a las constancias sobre implicaciones de Traspaso deberán ser únicos e irrepetibles.
...
..."
"Artículo 180. ...:
I.            ...:
a.     al d. ...
e.     Recibir de los Trabajadores los avisos en los que manifiesten no haber recibido la constancia sobre implicaciones del Traspaso conforme a los supuestos descritos en la fracción III del presente artículo.
II.            ...:
a.     al d. ...
III.           ...:
a.     Si el domicilio que el Trabajador proporcionó al solicitar la constancia sobre implicaciones del Traspaso en el E-SAR no corresponde a una Zona Metropolitana donde la Administradora tenga oficinas, sucursales o Unidad Especializada, la Administradora Transferente deberá entregar la constancia sobre implicaciones del Traspaso, ya sea al domicilio o correo electrónico que éste hubiera proporcionado mediante el E-SAR, en un plazo que no exceda los diez días hábiles contados a partir de que el Trabajador efectúe la solicitud mediante el E-SAR. La Administradora determinará si la constancia será enviada al domicilio o al correo electrónico.
b.     ...
c.     Si el Trabajador solicitó su constancia sobre implicaciones del traspaso a través de la Aplicación Móvil, utilizando los Factores de Autenticación categoría 3 a los que se refiere el Anexo B de las presentes disposiciones de carácter general, las Administradoras Transferentes, deberán enviar dicha Constancia en un plazo comprendido entre los cinco y siete días hábiles contados a partir de la fecha de la solicitud, al correo electrónico que el Trabajador hubiese especificado en la Aplicación Móvil, y deberá notificar a la Empresa Operadora sobre dicho envío, en términos del Manual de Procedimientos Transaccionales.
La constancia sobre implicaciones del traspaso que se genere a través de la Aplicación Móvil, únicamente podrá ser utilizada por las Administradoras Receptoras que tengan habilitado el servicio en la Aplicación Móvil.
Las Administradoras receptoras deberán asegurarse que el Trabajador tenga activa la Aplicación Móvil al momento de solicitar a las Empresas Operadoras la Certificación del Traspaso.
              Para el caso a que se refiere el inciso "b" anterior, cuando la Administradora Transferente se encuentre imposibilitada para entregar la constancia sobre implicaciones del Traspaso dentro
de los primeros diez días hábiles a partir del día en que el Trabajador realice la solicitud mediante el E-SAR, por motivos de disponibilidad de día y horarios, ésta deberá entregar la constancia, ya sea al domicilio o correo electrónico que el Trabajador hubiera proporcionado, en un plazo que no exceda los diez días hábiles contados a partir de que el Trabajador efectúe la solicitud mediante el E-SAR. La Administradora determinará si la constancia será enviada al domicilio o al correo electrónico.
              Para los casos a que se refiere el inciso "a" de esta fracción o, en caso de que se presente el supuesto descrito en el párrafo anterior, las Administradoras Transferentes deberán mantener la evidencia que les permita corroborar que entregaron la constancia sobre implicaciones del Traspaso en el domicilio o correo electrónico que proporcionó el Trabajador en el E-SAR y deberán informar a la Empresa Operadora el resultado de la entrega de dicha constancia de acuerdo a los lineamientos que para tal efecto se establezcan en el Manual de Procedimientos Transaccionales.
              Para los casos a que se refiere el inciso "c" de esta fracción, las Administradoras Transferentes deberán mantener la evidencia que les permita corroborar que entregaron la constancia sobre implicaciones del Traspaso en el correo electrónico que proporcionó el Trabajador en la Aplicación Móvil y deberán informar a la Empresa Operadora el resultado de la entrega de dicha constancia de acuerdo a los lineamientos que para tal efecto se establezcan en el Manual de Procedimientos Transaccionales.
              ...
IV.          ...
    a. al c. ...
              ...
V.           ....
              ...:
    a. al e. ...
VI.          ...:
    a. al b. ...
              ...
              ....
              ...
              ...
VII. al IX...
...
...
...
...
...
...
..."
"Artículo 182. Las Administradoras Receptoras, a través su área de operaciones, deberán establecer controles de verificación orientados a asegurar la identidad y garantizar el ejercicio de la voluntad de los Trabajadores, siendo la aplicación de dichos controles responsabilidad exclusiva de las Administradoras Receptoras. Los controles de verificación que establezcan las Administradoras, deberán considerar, al menos, la revisión de una muestra estadísticamente representativa con un intervalo de confianza no menor al noventa por ciento, de las manifestaciones de los Trabajadores, almacenadas en los videos obtenidos al momento de la tramitación de la Solicitud de Traspaso, contra la información contenida en la Solicitud de Traspaso.
...
 
...
...
...
...
..."
"Artículo 183. ...:
I.            ...:
a.     Se deroga.
b.     Las Solicitudes de Traspaso en las que se identifique un mismo riesgo;
II. al IV. ...
..."
"Artículo 185. ...:
I. ...;
II.            Se deroga.
III.           Se deroga.
...:
a.            ...;
b.            Se deroga.
c.            Se deroga.
...
...
..."
"Artículo 189. ...:
I.al II.       ...;
II bis. ...;
III. al V. ...;
VI.          Que se hubiere generado el Folio de Solicitud de Traspaso a que se refiere el artículo 139 anterior;
VII. al X. ...;
XI.          Que el número celular registrado por el Trabajador en la Solicitud de Traspaso o, en su caso, asociado a la Aplicación Móvil, no pertenezca al celular de otro Trabajador registrado en la Base de Datos Nacional del SAR en un periodo de cuatro meses;
XII. al XIV. ...
...
...
...:
a. y b. ...
..."
"Artículo 195. ....
...
Asimismo, los Trabajadores que reciban la Constancia de liquidación de Traspaso o la notificación del Registro o Traspaso de su Cuenta Individual, sin que hubieran suscrito una Solicitud de Registro o Traspaso, o bien reciban su estado de cuenta de alguna Administradora que no han elegido, contarán con un plazo de ciento ochenta días hábiles contado a partir de la fecha en que reciban cualquiera de los documentos antes mencionados, para presentar sus reclamaciones ante la CONDUSEF o por los medios de defensa que consideren convenientes a sus intereses.
...
..."
"Artículo 210 bis. Para efectos de realizar cualquiera de los servicios presenciales referidos en el artículo 209 anterior, los Trabajadores podrán realizarlos a través de un apoderado, tutor o curador, en su caso.
I. Se deroga.
II. Se deroga.
Cuando los Trabajadores realicen trámites a través de un apoderado, las facultades deberán hacerse constar, a través de un poder otorgado ante fedatario. Los instrumentos que se otorguen en el extranjero, deberán presentarse legalizados o apostillados y traducidos, en su caso, por perito.
Para que el apoderado, tutor o curador, en su caso, pueda gestionar los servicios previstos en el artículo 209 anterior a nombre del Trabajador, las Administradoras deberán verificar que el apoderado, tutor o curador integre el Expediente Electrónico del Trabajador y asiente su Firma Manuscrita Digital, asimismo, deberán verificar que estos no cuenten con un estatus de Agente Promotor Activo en el Sistema de Información de Agentes Promotores a que se refieren las Disposiciones de carácter general a las que deberán sujetarse las administradoras de fondos para el retiro en relación con sus agentes promotores. El Agente Promotor con estatus de activo, únicamente podrá fungir como apoderado, tutor o curador cuando actúe en representación de su cónyuge o de la persona con quien tenga relación de concubinato, así como con aquellos con quienes tenga una relación de parentesco civil o consanguíneo dentro del segundo grado.
...
I. y II....
...
Se deroga."
"Artículo 210 quáter. Las Administradoras deberán privilegiar en todo momento la tramitación personalísima de todo trámite relacionado con la Cuenta Individual de los Trabajadores, y para el caso en que lleven a cabo la tramitación a que se refiere el artículo 210 bis anterior, deberán implementar el uso de modelos electrónicos que les permitan autenticar la identidad del apoderado, tutor, curador o beneficiario, siempre y cuando este último sea mayor de edad, que se presente a gestionar los servicios previstos en el artículo 209 anterior, utilizando un factor de autenticación categoría 3 o superior conforme a lo dispuesto en el Anexo B Factores de Autenticación de las presentes Disposiciones de carácter general. Para efectos de lo anterior, las Administradoras deberán de presentar para autorización de esta Comisión la solicitud de autorización del modelo de autenticación que implementará, la cual deberá considerar al menos lo siguiente:
i.     Descripción detallada del modelo de autenticación;
ii.     Descripción detallada de los factores de autenticación que utiliza el modelo;
iii.    Evidencias que permitan constatar que el modelo cuenta con un Factor de Autenticación categoría 3 o superior de acuerdo al Anexo B de las presentes disposiciones;
iv.    Análisis de la viabilidad técnica y operativa del modelo de autenticación;
v.     Descripción de los mecanismos para garantizar la seguridad, integridad y confidencialidad de la información;
Las políticas para la generación y conservación de bitácoras auditables y que permitan verificar, al menos, el lugar, la fecha y hora de la transacción, así como aquella información que sirva como evidencia para la determinación del cumplimiento al modelo, dichas bitácoras deberán mantenerse a disposición de la Comisión en todo momento, para su supervisión.
La Comisión en término de lo previsto por la Ley, podrá requerir a la Administradora solicitante cualquier información adicional que considere necesaria para en su caso, pronunciarse respecto de la autorización del modelo de autenticación.
La Comisión contará con un plazo máximo de treinta días hábiles, contado a partir de la recepción de la solicitud de autorización con la documentación completa, para resolver sobre las solicitudes de autorización de modelos de autenticación que las Administradoras le presenten.
 
La autorización que en su caso se otorgue tendrá una vigencia de 2 años, misma que podrá ser renovada por periodos iguales a solicitud de la Administradora. Concluida la vigencia de la autorización deberá mantenerse suspendida la operación del modelo hasta que la Administradora cuente con la autorización de renovación que en su caso expida la Comisión.
Las Administradoras deberán asegurarse que los modelos de autenticación que en su caso les sean autorizados, funcionen correctamente, siendo responsables por cualquier mal funcionamiento que pudiera afectar los intereses de los Trabajadores.
En caso de que el modelo de autenticación deje de cumplir con los requisitos necesarios para su operación o no garantice la seguridad de las transacciones o de la información, la Comisión podrá ordenar la suspensión de las operaciones del modelo de autenticación de que se trate o en su caso revocar la autorización."
"Artículo 214. Las Administradoras, antes de que inicien la gestión de los servicios, deberán enviar a las Empresas Operadoras los datos y elementos del Expediente de Identificación del Trabajador, así como el Enrolamiento Biométrico, la Firma Biométrica y Manuscrita Digital de las personas que hubieren llevado a cabo las actividades descritas en los artículos 212 y 213 de las presentes disposiciones de carácter general y asegurarse que sea enrolado en la Base de Datos Nacional SAR, con excepción de los procesos de Registro y Traspaso en cuyo caso se deberá enviar previo a la certificación de la información y elementos contenidos en las Solicitudes de Registro y Traspaso a que refieren los artículos 149, 150 y 189 de las presentes disposiciones de carácter general.
...
...
..."
"Artículo 217. Las Administradoras podrán llevar a cabo la Recertificación de las Cuentas Individuales de los Trabajadores solamente cuando éstos tengan al menos seis meses de haber suscrito el contrato de administración de fondos para el retiro.
...:
I...
II.            Del total de Recertificaciones realizadas durante un año calendario, al menos la quinta parte de éstas deberá realizarse de forma presencial. La Recertificación a través de la Aplicación Móvil podrá sustituir la Recertificación presencial hasta en un cincuenta por ciento del total de la Recertificación presencial y la telefónica en su totalidad.
La Recertificación a través de la Aplicación Móvil y la Recertificación presencial de las Cuentas Individuales de los Trabajadores tendrán una vigencia de treinta y seis meses, contados a partir de la fecha en que dicho atributo se registre en la Base de Datos Nacional SAR. Cuando la Recertificación de las Cuentas Individuales se realice vía telefónica la vigencia de la Recertificación será de dieciocho meses contados a partir de la fecha en que se registre el atributo en la Base de Datos Nacional SAR."
"Artículo 219. ...
...:
I.            ...;
II.            ...:
              a. y b. ...
              ...
              ...
III. al V. ...
VI.          Registrar y almacenar un video que contenga la manifestación del Trabajador en la que exprese su consentimiento para la Recertificación, de conformidad con las características establecidas en el Manual de Procedimientos Transaccionales. Las administradoras serán responsables del resguardo y conservación del video, debiendo mantenerlo a disposición de la Comisión e implementar las medidas de seguridad necesarias para garantizar que no sea manipulable."
..."
"Artículo 229. Las Administradoras deberán recibir, atender, orientar y resolver las consultas, solicitudes y quejas de los Trabajadores o sus Beneficiarios, relacionadas con la administración y operación de sus Cuentas Individuales, a través de los medios que la Administradora haya puesto a disposición del Trabajador.
 
Las Administradoras, conforme a los sistemas que para tal efecto tengan establecidos, en términos del artículo 6 anterior, deberán llevar un registro y seguimiento de las consultas, solicitudes y quejas que les hubieren solicitado los Trabajadores y Beneficiarios, y asignar un Folio de Queja o Servicio, el cual se deberá proporcionar al Trabajador al momento de presentar su consulta, solicitud o quejas. Las Administradoras deberán utilizar dicho Folio para dar seguimiento e informar a los Trabajadores o Beneficiarios el estado que guarda el trámite y el resultado del mismo, de acuerdo con los plazos que se encuentren establecidos en las presentes disposiciones de carácter general para llevar a cabo los procesos o trámites solicitados.
...
Asimismo, las Administradoras deberán contar con mecanismos que permitan, al menos, identificar el servicio por el cual se presenta la queja o, en su caso, que se califica, así como el Folio de Queja o Servicio asignado."
"Sección VII
De la Administración de las Cuentas Individuales de los menores de edad"
"Artículo 243 bis. El menor de edad que haya sido registrado en una Administradora a través de quien ejerza la patria potestad o mediante su tutor, será representado en todo momento por éstos según corresponda, por lo que en su representación, podrán llevar a cabo cualquier trámite relacionado con su Cuenta Individual, incluso podrán elegir la Sociedad de Inversión o Sociedades de Inversión en la que deseen invertir los recursos, según los prospectos de inversión de cada Administradora."
"Artículo 243 ter. Una vez que los menores de edad cuenten con capacidad de ejercicio o comiencen a cotizar en alguno de los Institutos de Seguridad Social, obtendrán control total sobre su Cuenta Individual por lo que ya no será necesaria la intervención de quienes ejercían la patria potestad o de su tutor para llevar a cabo cualquiera de los trámites relacionados con la su Cuenta Individual.
Para efectos de lo anterior las Administradoras deberán actualizar los datos del Trabajador, así como su Expediente de Identificación en términos de las presentes disposiciones."
"Artículo 248. Las Administradoras deberán atender únicamente a través del E-SAR o de la Aplicación Móvil, las pre-solicitudes de transferencia o permanencia de los recursos de su Cuenta Individual de una Sociedad de Inversión a otra.
...
Las Administradoras deberán atender todas las pre-solicitudes para la transferencia o permanencia de los recursos que reciban de las Empresas Operadoras y realizar el contacto vía telefónica para obtener del Trabajador la elección de la Sociedad de Inversión en la que desee invertir los recursos de su Cuenta Individual. Lo anterior, a partir del día hábil siguiente a la fecha en la que la Administradora recibió la información de las pre-solicitudes de transferencia o permanencia y a más tardar el tercer día hábil posterior a la fecha en la que la Administradora recibió de la Empresa Operadora la información de las pre-solicitudes de transferencia o permanencia.
Si el Trabajador durante la llamada telefónica que reciba de la Administradora manifiesta que desea transferir sus recursos a una Sociedad de Inversión diferente a la que había elegido a través del E-SAR o de la Aplicación Móvil, la Administradora deberá tomar en cuenta dicho cambio para llevar a cabo la transferencia de los recursos.
...
..."
"Artículo 249. Las Administradoras deberán ejecutar e invertir los recursos de los Trabajadores en las Sociedades de Inversión elegidas por los mismos, de acuerdo con la elección de la Sociedades de Inversión obtenida del contacto que se hubiera tenido con el Trabajador a través del centro de atención telefónica de la Administradora, a más tardar el cuarto día hábil siguiente a la fecha en que la Administradora obtuvo telefónicamente la voluntad del Trabajador."
"Artículo 250. Las Administradoras, dentro de un plazo no mayor a cinco días hábiles contado a partir del día siguiente en que concluyó el trámite, deberán informar al Trabajador de forma clara lo siguiente según sea el caso:
a. Cuando Trabajador haya elegido permanencia de sus recursos en la misma Sociedad de Inversión en la que ya se inviertan sus recursos, que sus recursos permanecerán en dicha Sociedades de Inversión hasta que elija otra.
b. Cuando el Trabajador haya realizado una elección de Sociedad de Inversión distinta en la que ya se inviertan sus recursos: que sus recursos fueron transferidos a la o las Sociedades de Inversión que éste eligió.
c. Cuando se presente un rechazo: el motivo de rechazo.
Las notificaciones a que hacen referencia los incisos a, b y c anteriores se realizarán a través de los medios que para tal efecto determinen y establezcan en los Manuales de Políticas y Procedimientos de cada Administradora."
"Artículo 258. A efecto de mantener depurada y actualizada la Base de Datos Nacional SAR, será responsabilidad de las Empresas Operadoras y las Administradoras llevar a cabo en coordinación con los Institutos de Seguridad Social, ya sea mediante la celebración de convenios de colaboración o cualquier otro mecanismo que se prevea, los procedimientos que sean necesarios para la unificación y separación de Cuentas Individuales, de conformidad con los lineamientos y criterios de validación que establezca la Comisión.
...
...
...
..."
"Artículo 274 bis. Las Empresas Operadoras deberán prestar a las Administradoras el servicio, a través del cual, utilizando la Aplicación Móvil, puedan notificar al Trabajador sobre la recepción del estado de cuenta, las aportaciones, disposiciones y retiros realizados a la Cuenta Individual del Trabajador, así como el resultado de los servicios solicitados por el Trabajador a la Administradora, de igual forma, les permitan hacer llegar mensajes sobre la importancia de efectuar Ahorro Voluntario, información sobre los requisitos, plazos y otra que se relacione con los Sistemas de Ahorro para el Retiro. De igual forma el servicio deberá permitir incorporar aplicaciones interactivas para impulsar el Ahorro Voluntario. Dichas notificaciones y mensajes deberán adecuarse a los formatos que para tal efecto les notifique la Comisión."
"Artículo 274 ter. Las Empresas Operadoras deberán prestar a las Administradoras el servicio, a través del cual, utilizando la Aplicación Móvil, puedan enviar invitaciones al Trabajador para efectuar Ahorro Voluntario, llevar a cabo el Registro de su Cuenta Individual cuando se trate de Trabajadores No Afiliados. También deberán brindar servicios de consulta de saldos de la Cuenta Individual, actualización o modificación de los datos personales del Trabajador y aplicaciones interactivas diseñadas por las Administradoras."
"Artículo 274 quáter. Las Empresas Operadoras deberán adecuar los servicios referidos en los Artículos 274 bis y 274 ter conforme a los lineamientos que deben seguir las Administradoras y las Empresas Operadoras para el uso y operación de la Aplicación Móvil, establecido en el Anexo B fracción III de las presentes disposiciones de carácter general."
"CAPÍTULO VIII
DE LA RECAUDACIÓN
Sección I
Del Sistema de Recepción de Información y el Ahorro Solidario"
"Artículo 296. Las Empresas Operadoras deberán desarrollar, modificar actualizar y administrar el Sistema de Recepción de Información de conformidad con los requerimientos de la Comisión para la correcta operación de los procesos de recaudación.
Las Empresas Operadoras deberán implementar y administrar un portal de Internet vinculado al Sistema de Recepción de Información, a través del cual, los Trabajadores ISSSTE puedan realizar la elección, cancelación o modificación del porcentaje del beneficio del Ahorro Solidario.
...:
I. al III. ...
....
...:
a.            Recibir a través del Sistema de Recepción de Información, la información de los Trabajadores
que han elegido el beneficio del Ahorro Solidario, y
b.            ...
...."
"Artículo 297. Es responsabilidad de las Empresas Operadoras garantizar la seguridad, integridad y confidencialidad de la información que se intercambie a través del Sistema de Recepción de Información, así como del portal de Internet a través del cual los Trabajadores elijan, cancelen o modifiquen el porcentaje del Ahorro Solidario y deberán mantener a disposición de las Administradoras la información de la Base de Datos Nacional SAR de los Trabajadores cuya Cuenta Individual operen.
Asimismo, las Empresas Operadoras deberán permitir el acceso al Sistema de Recepción de Información a través de Medios Electrónicos."
"Artículo 298. Las Empresas Operadoras informarán al FOVISSSTE, a través del Sistema de Recepción de Información, los datos de las Dependencias y Entidades o, en su caso, de los Centros de Pago de las Dependencias y Entidades, obligados a realizar el entero de Aportaciones de Vivienda a favor del Trabajador ISSSTE que ha obtenido un crédito de vivienda, a efecto de que, ese fondo de vivienda proporcione la información necesaria para la Amortización de los créditos correspondientes en términos de las presentes disposiciones de carácter general."
"Artículo 299. Las Empresas Operadoras deberán proporcionar a las Dependencias, Entidades y Aseguradoras, la asesoría y capacitación correspondiente para la integración y el envío de los archivos que se deban transmitir a través del Sistema de Recepción de Información. Lo anterior, sin perjuicio de la atención que el ISSSTE y/o el FOVISSSTE puedan dar a las solicitudes de información que reciban de las Dependencias Entidades y Aseguradoras."
"Artículo 300. ...
...
Las Empresas Operadoras deberán establecer los lineamientos y características técnicas de intercambio de información para que las Dependencias y Entidades puedan actualizar el Catálogo de Trabajadores ISSSTE a través del Sistema de Recepción de Información.
Las Empresas Operadoras comunicarán a través del Sistema de Recepción de Información a las Dependencias y Entidades, a más tardar el día hábil siguiente en que reciban la actualización del catálogo a que se refiere el párrafo anterior, el resultado de la validación de estructura e información del archivo, incluyendo en su caso las inconsistencias identificadas. En caso de que el archivo es validado exitosamente, la Empresa Operadora deberá emitir una constancia de la actualización del Catálogo de Trabajadores ISSSTE en la Base de Datos Nacional SAR."
"Artículo 301. Es responsabilidad de las Aseguradoras, Dependencias y Entidades efectuar el cálculo bimestral del monto global e individualizado de los recursos correspondientes a las Cuotas y Aportaciones, Ahorro Solidario, así como de los pagos extemporáneos a los que hace referencia el artículo 22 de la Ley del ISSSTE y los intereses que, en su caso, les corresponda realizar, en términos de lo dispuesto en la Ley del ISSSTE. Asimismo, las Dependencias y Entidades podrán realizar aportaciones de Ahorro Voluntario a través del Sistema de Recepción de Información.
Para tal efecto, las Aseguradoras, Dependencias y Entidades, deberán integrar la información correspondiente a través del Sistema de Recepción de Información, de conformidad con los lineamientos y formatos que dé a conocer la Comisión.
..."
"Artículo 302. Las Empresas Operadoras, a través del Sistema de Recepción de Información, emitirán las Líneas de Captura que correspondan al entero de Cuotas y Aportaciones, Ahorro Solidario, Ahorro Voluntario, aportaciones para las amortizaciones de vivienda, pagos extemporáneos y los intereses que, en su caso, corresponda realizar a las Dependencias, Entidades y Aseguradoras, siendo éstas últimas responsables de cerciorarse de que las Líneas de Captura contengan los montos correctos que deban pagar.
La falta de recepción de las Líneas de Captura o el error en las mismas, no exime a las Aseguradoras, Dependencias y Entidades de cumplir con las obligaciones de determinar y enterar los recursos a que se refiere la presente sección, ni las libera de las consecuencias jurídicas derivadas del incumplimiento de dichas obligaciones; en cuyo caso, las Aseguradoras, Dependencias y Entidades deberán utilizar las opciones que contenga el Sistema de Recepción de Información para actualizar la información registrada y solicitar nuevamente la Línea de Captura."
 
"Artículo 309. ...
Las Empresas Operadoras deberán recibir del ISSSTE la solicitud e información a que se refiere el presente artículo a través del Sistema de Recepción de Información, a más tardar siete días hábiles antes de la fecha límite para el pago de recursos establecida en el artículo 21 tercer párrafo de la Ley del ISSSTE.
..."
"Artículo 329. Las Administradoras deberán adquirir el mismo día que reciban los recursos correspondientes a las Cuotas y Aportaciones, las Acciones de la Sociedad de Inversión que corresponda al Trabajador al precio registrado en esa fecha en una bolsa de valores autorizada para organizarse y operar en términos de la Ley del Mercado de Valores."
"Artículo 337 bis. Las Administradoras podrán presentar ante la Comisión para su autorización, los modelos, proyectos o iniciativas que, a través de la innovación y el uso de tecnología, estimulen el Ahorro Voluntario, el registro de Cuentas Individuales, la ampliación de la cobertura de servicios, o cualquier otro mecanismo que facilite el ejercicio de los derechos de los Trabajadores relacionados con su Cuenta Individual, así como el acceso a los servicios que les deban prestar las Administradoras, en las cuales podrán contar con la participación de empresas, Empresas de Apoyo, Organizaciones No Gubernamentales (ONGs), entidades gubernamentales, organismos internacionales o personas físicas con actividad empresarial.
Para efectos de lo anterior las Administradoras deberán enviar a la Comisión su solicitud de autorización, que contenga la descripción del modelo, proyecto o iniciativa que deberá considerar al menos, el objetivo del mismo, y los resultados esperados, un análisis de seguridad de la información y de los datos personales, así como la factibilidad operativa y técnica y, en su caso, el factor de autenticación que se pretenda utilizar, acreditando que se cumplen con los requisitos establecidos en el Anexo B de las presentes disposiciones de carácter general.
Las Administradoras que implementen los modelos a que se refiere esté artículo, deberán celebrar con los terceros referidos en el primer párrafo de este artículo, los convenios de confidencialidad necesarios para que la información de los Trabajadores se utilice únicamente para la gestión del trámite que éstos soliciten. Las Administradoras serán responsables en todo momento del cumplimiento de la normatividad en materia de protección de datos personales que resulte aplicable.
La Comisión, previo análisis de la viabilidad operativa, técnica y de la seguridad de la información y de datos personales, podrá autorizar los modelos, proyectos o iniciativas, en un plazo máximo de quince días hábiles, contado a partir de la recepción de la solicitud de autorización con la documentación completa.
La Comisión en término de lo previsto por la Ley, podrá requerir a la Administradora solicitante cualquier información adicional que considere necesaria para en su caso, pronunciarse respecto de la autorización del modelo, proyecto o iniciativa notificando en su caso la autorización de los mismos a las Empresas Operadoras a fin de que en un plazo máximo de diez días hábiles, dichas Empresas Operadoras se coordinen con el solicitante para establecer los convenios y/o contratos que se requieran para su formalización; la autorización tendrá una vigencia de un año, misma que podrá ser renovada por periodos iguales, siempre que la solicitud de renovación sea presentada por el interesado a más tardar treinta días hábiles previos a la fecha del vencimiento.
Una vez firmados los convenios o contratos a que hace referencia el presente artículo y previa autorización de los modelos, proyectos o iniciativas por la Comisión, las Empresas Operadoras deberán de definir los mecanismos que permitan realizar el intercambio de información, en un plazo máximo de quince días hábiles contado a partir del día hábil siguiente a la entrada en vigencia del contrato o convenio respectivo. Dichos mecanismos deberán establecerse en el Manual de Procedimientos Transaccionales.
En el caso de que las Administradoras o Empresas Operadoras decidan contratar los servicios de Empresas Auxiliares o Empresas de Apoyo para la operación de modelos, proyectos o iniciativas conforme a lo previsto en el presente artículo, deberán de asegurarse que la Empresa Auxiliar o la Empresa de Apoyo cuente con:
a.            Capacitación del personal que participará en el proyecto, modelos o Iniciativa, de modo que, en su caso, brinde la información correcta a los Trabajadores;
b.            Convenios de confidencialidad que aseguren que la información de los Trabajadores obtenida en el desarrollo del proyecto, modelo o iniciativa se utilice únicamente para la gestión del trámite;
c.            Mecanismos de seguridad que protejan la información de los Trabajadores.
 
En caso de que los modelos, proyectos o iniciativas, dejen de cumplir con los requisitos necesarios para su operación o no garanticen la seguridad de las transacciones o de la información del Trabajador, la Comisión podrá ordenar la suspensión de las operaciones de dichos modelos o revocar la autorización de los mismos."
"Artículo 337 ter. Las Empresas Operadoras deberán de implementar en el Portal E-SAR el servicio de generación de referencias de pago para el depósito de aportaciones de Ahorro Voluntario, de acuerdo con las siguientes características:
I.            El servicio deberá estar disponible al público en general;
II.            El servicio deberá permitir la recepción de los datos requeridos para la generación de las referencias de pago, mediante:
a.     Captura manual por CURP.
b.     Importación de la información a través de un archivo de datos de acuerdo a las características que se establezcan en el Manual de Procedimientos Transaccionales.
III.           El servicio deberá validar la información recibida y en su caso generar la referencia de pago que abarque el o los depósitos que fueron solicitados por el usuario;
IV.          Las Empresas Operadoras deberán de almacenar el detalle de las referencias de pago, para estar en posibilidad de realizar la conciliación y dispersión de las aportaciones en el momento que sean recibidas, y
V.           Las Empresas Operadoras deberán establecer en el Manual de Procedimientos Transaccionales los mecanismos que sean necesarios para el control, recepción, conciliación y dispersión de las aportaciones recibidas a través de referencias de pago.
Además de los servicios señalados en las fracciones anteriores, podrán incluirse otros servicios según lo requiera cada Administradora, debiendo apegarse a lo que establece el artículo 337 bis anterior."
"Artículo 346. Las Administradoras o Empresas Auxiliares que reciban aportaciones de Ahorro Voluntario, a través de cualquiera de los medios previstos en el artículo 337 anterior, deberán emitir un acuse de recibo de acuerdo con las características, lineamientos y criterios técnicos que se acuerden con las Empresas Operadoras, así como, en su caso, los que establezca la Comisión para tal efecto. Los acuses de recibo deberán contener al menos, el nombre y CURP del Trabajador, así como el monto y tipo de aportación de Ahorro Voluntario que se realiza, este último requisito podrá excluirse para el caso de las Aportaciones Voluntarias que se reciban en el extranjero a través de Empresas Auxiliares que para tal efecto sean contratadas por las Administradoras o las Empresas Operadoras por mandato de éstas.
..."
"Artículo 387 bis. ...:
a) al c). ...;
d) :
i.      ...;
ii.     ...;
iii.    ....
e) ...;
...
En cualquier caso, el Trabajador podrá acudir a cualquier oficina, sucursal o Unidad Especializada de la Administradora de que se trate, a solicitar la disposición de recursos por ayuda para gastos de matrimonio, Retiro Parcial por Desempleo y los de disposición de recursos a que se refiere el artículo 406 de las presentes disposiciones de carácter general, para lo cual las Administradoras deberán apoyar al Trabajador o sus Beneficiarios para realizar la pre-solicitud, conforme a los lineamientos que para tal efecto establezca la Empresa Operadora en el Manual de Procedimientos Transaccionales."
"Artículo 406 ter. ...:
a) al e). ...;
...
...
I.             ...;
 
II.            Contactar a los Trabajadores con base en los documentos de identificación que tenga en sus registros o en el Expediente de Identificación, cuando el monto del depósito sea superior a las 10 unidades de medida y actualización, con la finalidad de informarles sobre el depósito a que se refiere el presente artículo, debiendo sujetarse a lo siguiente:
              i. al iv. ....
...
...
...
..."
"Artículo 419. Para el caso de retiros parciales, el Trabajador que acuda a una Administradora deberá presentar la pre-solicitud de disposición de recursos por ayuda para gastos de matrimonio o Retiro Parcial por Desempleo que haya realizado a través del E-SAR acompañada por la documentación que, en su caso, establezcan las Administradoras y los Institutos de Seguridad Social, en la forma y términos que para tal efecto establezcan dichos Institutos.
...
..."
"Artículo 424. ...:
I.            Que el Trabajador haya realizado la pre-solicitud de Retiro Parcial por Desempleo a que se refieren las fracciones VIII y IX del artículo 9 de las presentes disposiciones de carácter general.
              Se deroga.
II. al V. ...
VI.          ...
              a.  ...
              b.  ...
VII.          ..."
"Artículo 437. Para tramitar una solicitud de disposición de Ahorro Voluntario, las Administradoras deberán cumplir, previamente, con los siguientes requisitos:
I.             Que el Trabajador cuente con Expediente de Identificación o Expediente Móvil y que corresponda al mismo;
II.            Asegurarse que el Trabajador manifieste en la solicitud de disposición de Ahorro Voluntario que conoce su contenido y que es su voluntad realizar el trámite para lo cual deberá sentar su nombre completo, Firma Biométrica y Firma Manuscrita Digital;
III.           Realizar una revisión de la solicitud de disposición de Ahorro Voluntario, a efecto de verificar el consentimiento, la voluntad y la identificación del Trabajador que realiza el trámite, y
IV.           En caso de que el retiro se realice a través de la Aplicación Móvil, u otros mecanismos no presenciales, las Administradoras podrán sustituir con ésta, el requisito a que se refiere la fracción II anterior, siempre que medie consentimiento expreso del Trabajador y el depósito a favor del Trabajador se haga en las cuentas bancarias de la titularidad de éste y que se hayan designado para tal efecto.
Los mecanismos no presenciales que en su caso implementen las Administradoras para efectuar el retiro de recursos de la Cuenta Individual, deberán ser autorizados previamente por la Comisión de conformidad con lo siguiente:
Las Administradoras deberán presentar la solicitud para operar un procedimiento no presencial para el retiro de Aportaciones Voluntarias, la cual deberá considerar al menos lo siguiente:
i.            Descripción detallada del procedimiento no presencial;
ii.            Descripción detallada de los factores de autenticación que utiliza el procedimiento no presencial;
iii.           Evidencias que permitan constatar que el procedimiento no presencial cuenta con un Factor de Autenticación categoría 3 o superior de acuerdo al Anexo B de las presentes disposiciones;
 
iv.           Análisis de viabilidad técnica y operativa del procedimiento no presencial;
v.            Descripción de los mecanismos para garantizar la seguridad, integridad y confidencialidad de la información;
Las políticas para la generación y conservación de bitácoras auditables y que permitan verificar, al menos, el lugar, la fecha y hora de la transacción, así como aquella información que sirva como evidencia para la determinación del cumplimiento al procedimiento no presencial, dichas bitácoras deberán mantenerse a disposición de la Comisión en todo momento, para su supervisión.
La Comisión en término de lo previsto por la Ley, podrá requerir a la Administradora solicitante cualquier información adicional que considere necesaria para en su caso, pronunciarse respecto de la autorización del mecanismo no presencial para efectuar el retiro de recursos de la Cuenta Individual.
La Comisión contará con un plazo máximo de treinta días hábiles, contado a partir de la recepción de la solicitud de autorización con la documentación completa, para resolver sobre las solicitudes de autorización de mecanismos no presenciales que las Administradoras le presente.
Las Administradoras deberán asegurarse que los mecanismos no presenciales que en su caso les sean autorizados, funcionen correctamente, siendo responsables frente al Trabajador por cualquier mal funcionamiento que pudiera afectar los intereses de éstos.
En caso de que el mecanismo no presencial deje de cumplir con los requisitos necesarios para su operación o no garantice la seguridad de las transacciones o de la información de los Trabajadores, la Comisión podrá ordenar la suspensión de las operaciones del mecanismo no presencial de que se trate o en su caso revocar la autorización.
Las Administradoras que implementen la disposición de recursos a que se refiere el presente artículo, previo a que pongan a disposición del Trabajador los recursos solicitados, deberán asegurarse que cumplen con las Disposiciones de carácter general a que se refiere el artículo 108 Bis de la Ley de los Sistemas de Ahorro para el Retiro que al efecto emita la Secretaría, en particular, con las obligaciones relativas a la identificación del cliente.
"ANEXO B"
FACTORES DE AUTENTICACIÓN
...:
I.            Factor de autenticación categoría 1: ...
              ...:
a.     ...,
b.     ...
II.            Factor de autenticación categoría 2: ...:
a.     ...:
       i. ...;
       ii. ...;
       iii. ...,
       iv. ...;
b.     ...,
c.     ...
...
...;
III.           Factor de autenticación categoría 3: Se compone de información contenida o generada por Medios Electrónicos, así como de información obtenida a través de la Aplicación Móvil que implementen las Empresas Operadoras o las Administradoras, previa autorización de la Comisión, así como mediante dispositivos generadores de contraseñas dinámicas de un solo
uso. Dichos medios o dispositivos deberán ser proporcionados por las Administradoras o Empresas Operadoras a los Trabajadores y la información contenida o generada por ellos, deberá cumplir con las características siguientes:
a.     Contar con propiedades que impidan su duplicación o alteración;
b.     Ser información dinámica que no podrá ser utilizada en más de una ocasión;
c.     No ser conocida con anterioridad a su generación y a su uso por los Agentes Promotores, así como cualquier empleado directo o indirecto de la Administradora, Empresas Operadoras o por terceros;
              La Comisión establecerá los lineamientos que deberán seguir las Administradoras y las Empresas Operadoras para el uso y aplicación del presente Factor de autenticación.
              Las Empresas Operadoras o Administradoras deberán proporcionar a los Trabajadores la aplicación informática móvil que genere contraseñas emitidas por las Empresas Operadoras. Dichas contraseñas requieren asociarse a un teléfono celular y cualquier otra información relacionada con el tipo de operación o servicio de que se trate, de manera que dicha contraseña únicamente pueda ser utilizada para la operación solicitada
              La Comisión podrá establecer lineamientos adicionales que deberán seguir las Administradoras y las Empresas Operadoras para el uso y aplicación del presente Factor de autenticación.
              Las Empresas Operadoras deberán habilitar la opción para generar contraseñas para autorizar y firmar servicios independientes de la Aplicación Móvil, cuando las Administradoras así lo requieran.
En todo caso, las Empresas Operadoras y las Administradoras deberán obtener la autorización de la Comisión para operar los medios a los que se refiere la presente fracción, en cuya solicitud deberán exponer los controles que les permitirán a los Trabajadores realizar operaciones de forma segura. La Comisión contará con un plazo de 40 días hábiles para resolver sobre las solicitudes de autorización a que se refiere este apartado.
Las Administradoras podrán implementar modelos para ofrecer servicios a través de la utilización de los factores de autenticación desarrollados por las Empresas Operadoras o por las Administradoras a que se refiere la presente fracción, para lo cual podrán solicitar a la Comisión su autorización.
La autorización que en su caso emita la Comisión, tendrá una vigencia de dos años, la cual podrá ser renovada por periodos iguales, siempre que la solicitud de renovación sea presentada por la Administradora interesada en un plazo no menor a treinta días hábiles previos a la fecha del vencimiento.
La solicitud de autorización de los servicios deberá contener al menos lo siguiente:
I.     Objeto;
II.     Servicios que se implementarán utilizando el modelo;
III.    Descripción detallada del modelo y servicio;
IV.   Fecha de inicio de operaciones;
V.    Análisis de viabilidad técnica y operativa para la operación que pretende efectuar;
VI.   Descripción de los mecanismos que garanticen la seguridad, integridad y confidencialidad de la información que se intercambie a través de los mismos;
VII.   Generación y disponibilidad de bitácoras que sean auditables y que permitan verificar, al menos, el lugar, la fecha y hora exacta de la transacción, así como aquella información que sirva como evidencia para la determinación del cumplimiento al modelo; dichas bitácoras deberán estar disponibles para supervisión de la Comisión, y
VIII.  Cualquier otro elemento que la Administradora considere que sea necesario para facilitar el análisis de la solicitud por parte de la Comisión.
La Comisión en términos de lo previsto por la Ley, podrá requerir a la Administradora solicitante cualquier información adicional que considere necesaria para en su caso, pronunciarse respecto de la autorización del modelo.
El desarrollo de los modelos de servicio a que se refieren los párrafos que anteceden, podrá ser realizada por las Administradoras a través de terceros que hayan sido evaluados por las propias Administradoras, considerando un análisis de riesgos y vulnerabilidades, y que de
acuerdo a dicha evaluación, la Administradora determine que el modelo cumple con las características señaladas en el Anexo B, Factores de Autenticación.
Las Empresas Operadoras deberán aceptar las solicitudes de implementación de los modelos de servicio autorizados por la Comisión para configurar las interfases y, conjuntamente con la Administradora, habilitar un canal seguro para su interacción, permitiendo el uso de los factores de autenticación de las Aplicaciones Móviles. Para efectos de lo anterior las Administradoras de que se trate y las Empresas Operadoras deberán celebrar los actos jurídicos que sustenten la operación de este servicio adicional.
En caso de que los modelos de servicio autorizados a que se refiere el presente artículo dejen de cumplir con los requisitos necesarios para su operación o no garanticen la seguridad de las transacciones o de la información, la Comisión podrá ordenar la suspensión de las operaciones de dichos modelos o revocar la autorización de los mismos.
IV.          ...;
V.           Factor de autenticación categoría 5: Se compone de la Firma Biométrica y Firma Manuscrita Digitalizada del Trabajador o Beneficiario, en su caso los cuales deberán de contemplar los siguientes elementos:
a)    Que la Firma Biométrica y/o Firma Manuscrita Digitalizada sea recabada en tiempo real.
b)    La Firma Biométrica podrá recabarse a través de elementos biométricos, basados en estándares internacionales, de acuerdo a las siguientes características:
i.      El elemento biométrico deberá verificar vida;
ii.     Podrá componerse de diversos factores biométricos para mejorar el nivel de confianza de la validación, y
iii.    Podrán utilizar componentes de geo-localización para identificar el lugar en que se realiza la Firma Biométrica.
Las Administradoras deberán utilizar los factores de autenticación para otorgar a los Trabajadores los servicios relacionados con la administración de su Cuenta Individual, de conformidad con lo previsto en las presentes disposiciones de carácter general."
"ANEXO M"
CARACTERÍSTICAS QUE DEBEN OBSERVAR LAS EMPRESAS OPERADORAS PARA BRINDAR LOS
SERVICIOS RELACIONADOS CON LAS CONSTANCIAS DE IMPLICACIONES DE TRASPASO
Las Empresas Operadoras deberán establecer los mecanismos para que los centros de atención telefónica cuenten con lo siguiente:
I.            La identificación del Trabajador conforme a los procedimientos internos de las Empresas Operadoras;
II.            Registro del número de teléfono del cual se realizó la llamada;
III.           El servicio de constancias de implicaciones de Traspaso deberá ser la primera opción en el menú de los servicios que se ofrezcan a los Trabajadores;
IV.          Los operadores de los centros de atención telefónica deberán
a.     Estar capacitados conforme a los procedimientos internos de las Empresas Operadoras, y
b.     Brindar el servicio conforme el guion que para tal efecto determine la Comisión.
              Los operadores de los centros de atención telefónica no deberán ser Agentes Promotores;
V.           Conservar en Medios Electrónicos las grabaciones de todas las llamadas telefónicas recibidas a que se refiere la presente fracción por un periodo de diez años a partir de la fecha en que se realizó la misma, y
VI.          Contar con estándares de calidad y niveles de servicio que le permitan operar en un horario no menor de lunes a sábado de nueve a veinte horas del horario del centro del país. Las Empresas Operadoras podrán suspender temporalmente el servicio cuando requieran dar mantenimiento a sus sistemas y plataformas tecnológicas, previo aviso a la Comisión."
 
SEGUNDO.- Se MODIFICA el artículo Primero Transitorio, fracción III, apartado C y D y fracción IV de las MODIFICACIONES Y ADICIONES A LAS DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE OPERACIONES DE LOS SISTEMAS DE AHORRO PARA EL RETIRO, publicadas en el Diario Oficial de la Federación el 4 de julio de 2017;
"PRIMERO.- Las presentes modificaciones y adiciones entrarán en vigor al día hábil siguiente de su publicación en el Diario Oficial de la Federación con excepción de lo siguiente:
I. al II. ...;
III.           El artículo 180 de las presentes modificaciones y adiciones comenzará su vigencia según lo siguiente:
A.    El párrafo primero, segundo, tercero, cuarto, quinto, sexto, séptimo y octavo, entrarán en vigor a los 60 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
B.    Las fracciones I, con excepción de los incisos a, c y e, II, III y IV entrarán en vigor a los 60 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
C.    Las fracciones I, inciso e, V y VI, entrarán en vigor el 19 de enero de 2018, y
D.    Las fracciones I, inciso a, VII, VIII, y IX entrarán en vigor el 3 de septiembre de 2018.
       ...
IV.           El artículo 387 bis, en materia de retiros parciales y totales de recursos de la Cuenta Individual, contenidas en las presentes modificaciones y adiciones, con excepción de aquellas a que se refiere la fracción V siguiente, entrarán en vigor el 30 de noviembre de 2018. El artículo 387 bis, en materia de retiros totales de recursos de la Cuenta Individual, contenidas en las presentes modificaciones y adiciones, con excepción de aquellas a que se refiere la fracción V siguiente, entrarán en vigor el 30 de abril de 2019.
V.-          ..."
TRANSITORIOS
PRIMERO.- Las presentes modificaciones y adiciones entrarán en vigor al día hábil siguiente de su publicación en el Diario Oficial de la Federación con excepción de lo siguiente:
I.            El artículo 180, fracción III, inciso c, comenzará su vigencia a los 120 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
II.            El artículo 337 ter, comenzará su vigencia a los 260 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
III.           Los artículos 9, fracciones III y VI, 136, 137, 138, 139, último párrafo y sus fracciones I, II y III, 148, fracción II, inciso a, último párrafo, 158 fracciones II y III, inciso b y c, 160 fracción IV, 168, fracción II, inciso a, finalizarán su vigencia y quedarán derogados a los 60 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
IV.          Las modificaciones a los artículos 139 párrafos primero, segundo y tercero, 148, fracción III, 150, 168, fracción III, 172, 173, fracción III, 176 y 189, fracciones VI y XI, comenzarán su vigencia a los 60 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
V.           Las modificaciones y adiciones a los artículos 148 fracción V, 149 bis, último párrafo, 155, 156, 168 fracción VIII, 182 y 219 fracción VI, comenzarán su vigencia a los 40 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
VI.          Los artículos 243 bis y 243 ter, comenzarán su vigencia a los 150 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
VII.          Las modificaciones al artículo 217, comenzarán su vigencia a los 20 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y
adiciones;
VIII.         Las modificaciones al artículo 14 comenzarán su vigencia a los 90 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
IX.          Las modificaciones y adiciones a los artículos 90, fracciones IV, V y VI, 90 bis, y 92 fracción II inciso b, inciso c, inciso d, numeral i, e inciso f numeral IV, comenzarán su vigencia a los 260 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones, y
X.           El artículo 210 quáter, comenzará su vigencia a los 110 días hábiles siguientes al de la publicación en el Diario Oficial de la Federación de las presentes modificaciones y adiciones.
SEGUNDO.- Con la entrada en vigor de las presentes modificaciones, se abrogan todas aquellas disposiciones que contravengan a las presentes.
Ciudad de México, a 9 de noviembre de 2018.- El Presidente de la Comisión Nacional del Sistema de Ahorro para el Retiro, Carlos Ramírez Fuentes.- Rúbrica.