Secretaría de Hacienda y crédito público
Secretaría de Hacienda y Crédito Público

SECRETARIA DE HACIENDA Y CREDITO PUBLICO

Amairani Reyes

40ª.- Por cada Operación Inusual que detecte una Entidad, esta deberá remitir a la Secretaría, por

conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél enque concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Entidad a través de su Comité, contará con un periodo que no excederá de los sesenta días naturales contados a partir de que se genere la alerta por medio de su sistema, modelo, proceso o por el empleado de la Entidad, lo que ocurra primero.

45ª.- Por cada Operación Interna Preocupante que detecte una Entidad, esta deberá remitir a la Secretaría, por conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél enque concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Entidad a través de su Comité, contará con un periodo que no excederá de sesenta días naturales contados a partir de que dicha Entidad detecte esa Operación, por medio de su sistema, modelo, proceso o de cualquier empleado de la misma, lo que ocurra primero.

50ª Bis.- El Comité de cada Entidad o bien, su consejo de administración o director general, podrá nombrar a un funcionario de la Entidad que interinamente ejercerá las funciones de Oficial de Cumplimiento, en el cumplimiento de sus obligaciones conforme a las presentes Disposiciones, hasta por noventa días naturales durante un año calendario, contados a partir de que el funcionario designado como Oficial de Cumplimiento deje, le sea revocado o se encuentre imposibilitado para realizar el encargo en cuestión.

El Oficial de Cumplimiento Interino deberá desempeñar las funciones y obligaciones señaladas en las presentes Disposiciones, hasta el momento en que se informe la revocación señalada en la fracción II de la 51ª de estas Disposiciones.

51ª.- …

I. El nombre y apellidos sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que se haya efectuado la designación correspondiente;

II. La revocación de la designación del Oficial de Cumplimiento u Oficial de Cumplimiento Interino que hubiere sido designado en términos de lo establecido tanto en la 50ª, como en la 50ª Bis de las presentes Disposiciones, según sea el caso, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido, ya sea por determinación de la Entidad, rechazo del encargo,por terminación laboral o imposibilidad, así como la demás información que se prevea en el formato señalado, y

III. El nombre y apellidos sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento en términos de lo establecido en la 50ª Bis de las presentes Disposiciones, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientesa la fecha en que la misma haya ocurrido.

73ª.- …

Las Entidades deberán adoptar e implementar mecanismos que permitan identificar a los Clientes o Usuarios que se encuentren dentro de la Lista de Personas Bloqueadas, así como cualquier tercero que actúe en nombre o por cuenta de los mismos, y aquellas Operaciones que hayan realizado, realicen o que pretendan realizar. Dichos mecanismos deberán estar previstos en el Manual de Cumplimiento de la propia Entidad.

74ª.- …

I. a VI. …

VII. Aquellas que aparezcan en la lista de contribuyentes a que se refiere el cuarto párrafo del artículo 69-B del Código Fiscal de la Federación.

77ª.- …

I. a IV. …

V. Se encuentren en el supuesto del párrafo sexto del artículo 69-B del Código Fiscal de la Federación.

Anexo 2

Capítulo I “Objeto”

Artículo 1.- El presente Anexo tiene por objeto establecer las medidas y procedimientos mínimos que las Entidades deberán observar a efecto de dar cumplimiento a la 4ª Bis de las presentes Disposiciones, sin perjuicio del cumplimiento de las diversas obligaciones establecidas en las mismas.

Capítulo II “Umbrales para la identificación no presencial”

Artículo 2.- Las Entidades deberán observar los siguientes umbrales por tipo de Mecanismo Tecnológico de Identificación y producto sobre el cual estas soliciten autorización a la Comisión para efectos del cumplimiento de la 4ª Bis de estas Disposiciones:

I. Respecto al Mecanismo Tecnológico de Identificación previsto en el artículo 4 del presente Anexo, para la realización o contratación de:

a) Las aportaciones de capital social y apertura de cuentas de depósito que ofrezcan las Entidades a solicitantes que sean personas físicas, personas físicas con actividad empresarial o personas morales, todos de nacionalidad mexicana, se deberá pactar en los contratos respectivos que la suma de los abonos en el transcurso de un mes calendario no exceda del equivalente en moneda nacional a 30,000 Unidades de Inversión.

En el supuesto de que el nivel transaccional sobrepase el monto máximo establecido en el párrafo anterior, la Entidad deberá realizar el Mecanismo Tecnológico de Identificación previsto en el artículo 5 de este Anexo, en caso de contar con la autorización correspondiente, o realizar la entrevista presencial a que se refiere la  de las presentes Disposiciones e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la  o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.

Para determinar el nivel transaccional a que se refiere la presente disposición, las Entidades no están obligadas a considerar los importes relativos a intereses generados o cualquier otra bonificación que dichas Entidades otorguen por el uso o manejo de la cuenta respectiva que, en su caso, se efectúen en el período de que se trate.

b) Los créditos al consumo que ofrezcan las Entidades a solicitantes personas físicas, así como créditos comerciales que se otorguen a personas físicas con actividad empresarial y personas morales, todos de nacionalidad mexicana, en ambos casos se deberá pactar en los contratos respectivos que la línea de crédito o monto otorgado no exceda del equivalente en moneda nacional a 60,000 Unidades de Inversión.

II. Respecto al Mecanismo Tecnológico de Identificación previsto en el artículo 5 del presente Anexo:

a) Las aportaciones de capital social y apertura de cuentas de depósito que ofrezcan las Entidades a solicitantes que sean personas físicas, personas físicas con actividad empresarial o personas morales, todos de nacionalidad mexicana, se deberá pactar en los contratos respectivos que la suma de los abonos en el transcurso de un mes calendario no exceda del equivalente en moneda nacional a 60,000 Unidades de Inversión.

En el supuesto de que el nivel transaccional sobrepase el monto máximo establecido en el párrafo anterior, la Entidad deberá realizar la entrevista presencial a que se refiere el primer párrafo de la  de las presentes Disposiciones e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar Operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.

Para determinar el nivel transaccional a que se refiere la presente disposición, las Entidades no estarán obligadas a considerar los importes relativos a intereses generados o cualquier otra bonificación que dichas Entidades otorguen por el uso o manejo de la cuenta respectiva que, en su caso, se efectúen en el período de que se trate.

b) Los créditos al consumo que ofrezcan las Entidades a solicitantes personas físicas, así como créditos comerciales que se otorguen a personas físicas con actividad empresarial y personas morales, todos de nacionalidad mexicana, en ambos casos se deberá pactar en los contratos respectivos que la línea de

crédito o monto otorgado no exceda del equivalente en moneda nacional a 100,000 Unidades de Inversión.

Las Entidades deberán tomar como valor de referencia de las Unidades de Inversión a que se refiere el presente artículo, aquel aplicable para el último día del mes calendario anterior a aquel en que se lleve a cabo el cómputo del nivel de contrato para el otorgamiento de crédito de que se trate.

Capítulo III “Mecanismos Tecnológicos de Identificación”

Artículo 3.- Las Entidades podrán optar por alguno o ambos de los Mecanismos Tecnológicos de Identificación que se señalan en los artículos 4 o 5 sujetos a los umbrales señalados en el artículo 2 de este Anexo.

Sin perjuicio de lo anterior, adicionalmente las Entidades podrán llevar a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo sujeto a los umbrales a que se refiere la fracción I del artículo 2 del presente Anexo.

Artículo 4.- Las Entidades deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia de la cuenta o contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la apertura de cuenta o relación contractual.

Adicionalmente, durante el desarrollo del Mecanismo Tecnológico de Identificación a que se refiere el párrafo anterior las Entidades deberán observar lo siguiente:

a) Registrar la hora y fecha de su realización obtenidas de un servidor de tiempo protegido.

b) Implementarlo través de herramientas automatizadas que permitan su grabación y posterior reproducción.

c) Verificar que la calidad de la imagen y sonido permita la plena identificación del solicitante, según los parámetros que establezcan las propias Entidades para tal efecto.

d) Requerir al solicitante que muestre el documento válido de identificación que envió junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, tanto por el lado anverso como por el reverso, verificando que contenga los mismos datos y fotografía que el documento válido de identificación previamente enviado.

e) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del solicitante, asegurándose de que exista coincidencia entre su rostro y el del documento válido de identificación previamente enviado.

f) Realizar una prueba de vida al solicitante.

Para efectos de lo anterior, se entenderá como prueba de vida a las pruebas técnicas con base en algoritmos, para medir y analizar las características anatómicas o reacciones voluntarias e involuntarias del solicitante, a efecto de determinar si una muestra biométrica está siendo capturada de un sujeto con vida presente en el punto de captura.

Artículo 5.- Las Entidades deberán verificar la coincidencia de la información biométrica del solicitante ya sea con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.

En caso de que la información biométrica a que se refiere el párrafo anterior sean las huellas dactilares del solicitante, las Entidades deberán asegurarse de que las aplicaciones o medios de que dispongan aseguren que la huella dactilar se obtenga directamente del solicitante, es decir, una prueba de huella viva, evitando el registro de huellas provenientes de impresiones en algún material que pretenda simular la huella de otra persona o de imágenes que persigan tal fin, y contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de dichas aplicaciones o medios no sea conocida ni utilizada por terceros no autorizados, así como autenticar que la huella dactilar que se obtenga del solicitante, coincida, al menos, en un noventa por ciento con los registros de las bases de datos ya sea del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.

Adicionalmente, las Entidades deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y, en su caso, sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia de la cuenta o contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la apertura de cuenta o relación contractual, y deberán observar los requisitos a que se refiere el artículo 4, párrafo segundo del presente Anexo. Para cumplir con el inciso c) será necesario verificar la calidad del sonido cuando resulte aplicable.

Artículo 6.- En caso de que el Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica, no puedan responder a las solicitudes de verificación de información biométrica a que se refiere el artículo 5 del presente

Anexo por fallas técnicas o de comunicación imputables a la autoridad mexicana correspondiente, las Entidades podrán, en caso de contar con la autorización correspondiente, llevar a cabo el Mecanismo Tecnológico de Identificación del artículo 4 del presente Anexo 2, sujetándose a los límites correspondientes.

En el supuesto de que el nivel transaccional sobrepase el monto máximo establecido del Mecanismo Tecnológico de Identificación a que se refiere el artículo 4 del presente Anexo, la Entidad deberá realizar la entrevista presencial a que se refiere la  de las presentes Disposiciones o aplicar el Mecanismo Tecnológico de Identificación previsto en el artículo 5 de este Anexo, en caso de contar con la autorización correspondiente de este último, e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la  o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.

Capítulo IV “Requisitos”

Artículo 7.- Adicionalmente, para efectos de lo establecido en el presente Anexo, las Entidades deberán:

I. Obtener previa autorización de la Comisión.

No será necesaria la autorización a que se refiere el párrafo anterior, cuando las Entidades se sujeten a los umbrales a que se refiere el artículo 2, fracción I del presente Anexo y lleven a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo. En este supuesto, las Entidades deberán informar de manera previa a la Comisión los productos y la fecha en la que empezarán a ofrecerlos, a través de los medios electrónicos que esta última señale.

Asimismo, las Entidades deberán observar lo establecido en las fracciones II a VII del presente artículo, así como los requisitos previstos en los artículos 8 y 9 del presente Anexo.

Las Entidades deberán conservar toda la información y documentación soporte, misma que deberá estar a disposición de la Comisión, a requerimiento de esta última, dentro del plazo que la propia Comisión establezca.

II. Requerir al solicitante que declare si ya es Cliente de la Entidad. En caso de que la declaratoria sea afirmativa, la Entidad deberá observar lo previsto en la fracción IV del presente artículo. Con independencia de la declaratoria del solicitante, la Entidad deberá completar su expediente de identificaciónde acuerdo con el producto que pretenda contratar.

III. Requerir al solicitante que haya declarado no ser Cliente de la Entidad el envío de un formulario a través del medio electrónico que la Entidad establezca al efecto, en el cual se deberán incluir, al menos, los datos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, así como la especificación del producto que se pretende contratar de los previstos en el artículo 2 del presente Anexo.

El formulario mencionado deberá incluir una manifestación que señale que su envío a la Entidad de que se trate constituye la aceptación del solicitante para que su imagen y, en su caso, su voz sean grabadas en alguno de los Mecanismos Tecnológicos de Identificación a que se refiere el Capítulo III de este Anexo. Dicha manifestación podrá realizarse a través de herramientas automatizadas que permitan su grabación y posterior reproducción.

IV. En caso de que el solicitante declare ser Cliente de la Entidad, esta deberá verificar como mínimo los datos de nombre completo, número de Cliente y Clave Única del Registro de Población del Cliente, así como los demás datos que ella misma determine con el fin de corroborar contra sus propios registros que, en efecto, se trata de un Cliente, y en caso de que así sea, la Entidad deberá autenticarlo con un factor de autenticación categoría 3 de acuerdo con las Disposiciones de carácter general aplicables a las entidades de ahorro y crédito popular, organismos de integración, sociedades financieras comunitarias y organismos de integración financiera rural, a que se refiere la Ley de Ahorro y Crédito Popular, emitidas por la Comisión o las que las sustituyan.

En caso de que la verificación a que se refiere el párrafo anterior sea exitosa, la Entidad podrá proceder a la contratación de los productos previstos en el artículo 2 de este Anexo, sin necesidad de llevar a cabo lo establecido en las fracciones V a VIII siguientes.

Cuando la verificación a la que se refiere la presente fracción no resulte exitosa, la Entidad deberá observar los mismos requisitos previstos en el presente Anexo para los solicitantes que declaren no ser Clientes.

V. Si la Entidad corrobora que el solicitante no es su Cliente, conjuntamente con el formulario a que se

refiere la fracción III del presente artículo, deberá requerir al solicitante el envío de una fotografía a color de alguno de los documentos válidos de identificación, a que se refiere la 4ª Bis de las presentes Disposiciones, por el anverso y el reverso y verificar los elementos de seguridad, a fin de detectar si presentan alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello.

Se deroga.

Se deroga.

Se deroga.

Tratándose de la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se listan, con los registros del propio Instituto o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:

a) El Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar o, en su caso, el Código de Reconocimiento Óptico de Caracteres (OCR).

b) d) …

Las Entidades deberán verificar que los apellidos paterno y materno y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de dicho documento de identificación.

Tratándose del pasaporte mexicano expedido por la Secretaría de Relaciones Exteriores en el país o a través de sus oficinas consulares en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:

a) El Código de Reconocimiento Óptico de Caracteres (OCR).

b) Apellidos paterno y materno y nombre(s), tal como aparezcan en el pasaporte mexicano.

c) Número de Pasaporte.

En caso del certificado de matrícula consular expedido por las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:

a) Apellidos paterno y materno y nombre(s), tal como aparezcan en el certificado de matrícula consular.

b) Fecha de expedición y fecha de expiración.

c) Número del documento.

Adicionalmente, las Entidades deberán requerir al solicitante que envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto en la 4ª Bis de las presentes Disposiciones.

VI. Informar al solicitante el procedimiento que se seguirá en el Mecanismo Tecnológico de Identificación que corresponda previstos en el Capítulo III del presente Anexo y cuáles son los accesos a los medios para su realización, así como entregar un código de un solo uso, el cual será requerido al solicitante al inicio del Mecanismo Tecnológico de Identificación de que se trate.

Se deroga.

VII. Las Entidades deberán suspender el proceso de contratación del solicitante cuando se presente cualquiera de los casos siguientes:

a) La calidad de la imagen y, en su caso, la del sonido, no permitan realizar una identificación plena del solicitante.

b) El solicitante no presente el documento válido de identificación previamente enviado junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, los datos obtenidos de este no coincidan con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores, del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica respecto a dicho documento de identificación o, el resultado de la validación de los elementos de seguridad de los mencionados documentos o de las verificaciones biométricas del rostro del solicitante a que se refiere el artículo 5 anterior, no alcancen la efectividad o nivel

de fiabilidad a que hace referencia la fracción VII del artículo 9 del presente Anexo.

c) d) …

e) Se presenten situaciones atípicas o riesgosas, o bien, la Entidad tenga dudas acerca de la autenticidad del documento válido de identificación o de la identidad del solicitante.

Se deroga.

En caso de suspensión del proceso de contratación por las causas mencionadas en los incisos anteriores, las Entidades deberán almacenar la información y documentación obtenida, por lo menos, durante 30 días naturales, con el objetivo de que, en caso de retomar los procesos de contratación, se corrobore que la información sea consistente. Adicionalmente, la mencionada información y documentación deberá ser utilizada por las Entidades en los controles previstos en estas Disposiciones.

Para el caso de Clientes o solicitantes que sean personas morales, para efectos de la identificación de sus apoderados o representantes legales, las Entidades deberán observar los mismos procedimientos señalados en el presente artículo, con la salvedad de que, para el caso de solicitantes que declaren no ser Clientes, el envío del formulario a que se refiere la fracción III de este artículo, deberá hacerse mediante archivo firmado con la Firma Electrónica Avanzada de la persona moral de que se trate.

La tecnología utilizada para los procedimientos a que se refiere el presente Anexo deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de la Entidad.

Las Entidades podrán pactar durante el desarrollo del Mecanismo Tecnológico de Identificación para la celebración de los contratos de cuentas de depósito a que se refiere el presente Anexo, la contratación de los servicios electrónicos a que se refieren las disposiciones de carácter general a que se refiere la Ley asociados a tales cuentas, sin que puedan permitir que mediante los servicios contratados conforme a lo establecido en este artículo se instruya la celebración de operaciones con cargo a otras cuentas del mismo Cliente. La anterior prohibición no será aplicable cuando el Cliente acuda a las oficinas a realizar la contratación de los servicios electrónicos.

Se deroga.

Se deroga.

Se deroga.

Artículo 8.- Las Entidades deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos de identificación a que se refiere el artículo 7 del presente Anexo, los cuales garanticen la integridad, de dicha información, así como la correcta lectura de los datos y la imposibilidad de su manipulación, al igual que su adecuada seguridad, conservación y localización.

Las Entidades podrán utilizar mejoras tecnológicas que ayuden a compensar la nitidez de las imágenes, cuando se muestre alguno de los documentos válidos de identificación y se realice el reconocimiento facial del solicitante, las cuales deberán ser aprobadas por su responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.

Capítulo V “Otras disposiciones”

Se deroga.

Artículo 9 – Las Entidades, al solicitar la autorización a que se refiere el artículo 7 deberán presentar lo siguiente:

I. Descripción detallada del proceso de identificación no presencial, así como la Infraestructura Tecnológica utilizada en cada parte de este, especificando la función de cada componente de dicha infraestructura, el cual deberá ser aprobado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.

Asimismo, las Entidades deberán incluir a todos los proveedores de tecnología que intervienen en la Infraestructura Tecnológica y, en su caso, las aplicaciones principales utilizadas para el referido proceso y su interrelación.

II. Descripción de los medios electrónicos utilizados para que los solicitantes envíen, en su caso, el formulario y documentos por un canal seguro considerando, al menos, el tipo de transmisión del dispositivo hacia el nodo que recibe la información del formulario, tales como Hyper Text Transfer Protocol Secure, o Transport Layer Security versión 1.2 o superior.

III. Nombre del prestador de servicios de certificación autorizado por la Secretaría de Economía utilizado para la conservación de la versión digital de alguno de los documentos válidos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, conforme a la Norma Oficial Mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de la norma oficial mexicana y no contravenga la misma.

IV. Diagrama de red que muestre todos los componentes de la Infraestructura Tecnológica que forman parte del proceso de identificación no presencial, incluyendo la segregación de redes de comunicaciones y equipos de seguridad perimetral, considerando esquemas de redundancia.

Se deroga.

V. Información detallada sobre si las imágenes de los documentos válidos de identificación, grabaciones e información biométrica se mantendrán en instalaciones de proveedores de servicios o de la propia Entidad, describiendo los controles para la gestión de acceso y mecanismos para su almacenamiento.

VI. Evidencia de que los medios de verificación de la validez de los documentos de identificación tienen la efectividad aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de las Entidades.

VII. En su caso,evidencia de que los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen, tengan el nivel de fiabilidad determinado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.

VIII. En su caso, información detallada sobre las pruebas de calibración a los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen.

Dichas pruebas deben ser realizadas conforme a los umbrales establecidos por la Entidad, los cuales deberán contemplar los resultados de estas pruebas, y los ajustes del motor de validación derivado de ellos. Las Entidades deberán acompañar a su solicitud de autorización evidencias de todo lo anterior.

IX. Los estándares de calidad de la imagen y, en su caso, de sonido.

X. En su caso, la descripción técnica de los factores de autenticación categoría 3 que se requerirá para corroborar que un solicitante es Cliente de la Entidad, conforme a lo previsto en el artículo 7 del presente Anexo, así como las características del código de un solo uso.

XI. Mecanismos a través de los cuales transmitirán y resguardarán de manera segura la información, datos y documentos generados en el procedimiento de identificación no presencial.

XII. Mecanismos utilizados para garantizar la integridad, correcta lectura, imposibilidad de manipulación y adecuada seguridad, conservación y localización de la información, datos y documentos a que se refiere el presente Anexo.

XIII. Mecanismos de cifrado en los canales de comunicación utilizados en el proceso de identificación no presencial, indicando la información que será transmitida por cada uno de dichos canales.

XIV. Mecanismos utilizados para la gestión de accesos a los sistemas, así como las políticas para la gestión de accesos, en las que se incluya el uso de contraseñas robustas.

XV. Políticas y procedimientos de gestión de incidentes de seguridad de la información.

XVI. Mecanismos o herramientas utilizadas para el monitoreo y bloqueo de contrataciones que presenten las situaciones descritas en el inciso e) de la fracción VII del artículo 7 del presente Anexo.

XVII. Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como pruebas de penetración en los diferentes componentes de la Infraestructura Tecnológica utilizada en el proceso, ya sea propia o de terceros. Las pruebas de penetración mencionadas deberán realizarse por un tercero independiente que cuente con personal que tenga la capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia.

Las Entidades deberán proporcionar a la Comisión evidencia de la realización de las pruebas a las que se refieren las fracciones VIII y XVII del presente artículo, antes de implementar el esquema que se les haya autorizado de conformidad con el artículo 7 del presente Anexo.

Será responsabilidad de las Entidades que contraten a terceros para almacenar, procesar y transmitir información en el proceso de contratación no presencial, la vigilancia del cumplimiento al presente artículo, al menos una vez al año, así como la obligación de contar con la evidencia que lo sustente, la cual deberán tener a disposición de la Comisión en todo momento.

Cuando las Entidades pretendan modificar alguno de los procedimientos que tengan autorizados para dar cumplimiento al artículo 4 o artículo 5, según corresponda, del presente Anexo, requerirán de la previa autorización de la Comisión.

Artículo 10.- Los procedimientos establecidos en los artículos 4 o 5 del presente Anexo son independientes de los utilizados en las contrataciones y operaciones que las Entidades realicen con sus Clientes en términos del Capítulo VIII del Título Cuarto de las Disposiciones de carácter general aplicables a las entidades de ahorro y crédito popular, organismos de integración, sociedades financieras comunitarias, y organismos de integración financiera rural, a que se refiere la Ley de Ahorro y Crédito Popular emitidas por la Comisión o las que las sustituyan.

Disposiciones Transitorias

Primera. – La presente Resolución entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación salvo por lo previsto en las siguientes Disposiciones Transitorias.

Segunda. – Los lineamientos, interpretaciones y criterios emitidos por la Secretaría o por la Comisión, con fundamento en lo dispuesto en la Resolución del 31 de diciembre de 2014 y Resoluciones subsecuentes mediante las que hayan sido adicionadas o reformadas las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, seguirán siendo aplicables en lo que no se opongan a lo establecido en la presente Resolución.

Tercera.- Las sociedades financieras populares, sociedades financieras comunitarias con niveles de operación I a IV y organismos de integración financiera rural, que hayan obtenido la aprobación de la Comisión a los mecanismos de identificación no presencial en términos del Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, vigentes hasta antes de la entrada en vigor de la presente Resolución, tendrán un plazo de doce meses, contados a partir de la entrada en vigor de esta Resolución, para presentar a dicha Comisión una nueva solicitud de autorización en apego al artículo 7, fracción I del Anexo2 que se reforma con el presente instrumento.

La autorización a que se refiere el párrafo anterior continuará vigente hasta en tanto la Comisión resuelva sobre la solicitud de autorización que las sociedades financieras populares, sociedades financieras comunitarias, con niveles de operación I a IV y organismos de integración financiera rural, hayan presentado ante la propia Comisión conforme a lo indicado por el Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, que se reforman con esta Resolución.

Cuarta.- Las Entidades que hayan optado por implementar, con carácter temporal, la facilidad administrativa contenida en los oficios números P294/2020 y P311/2020 del 17 de abril y 6 de mayo, ambos del 2020, respectivamente, emitidos por la Comisión, al amparo del CUARTO del ACUERDO por el que se establecen las medidas temporales y extraordinarias y se suspenden algunos plazos para la atención de las entidades financieras y personas sujetas a supervisión de la Comisión Nacional Bancaria y de Valores, a causa del coronavirus denominado COVID-19, publicado en el Diario Oficial de la Federación el 26 de marzo de 2020, podrán continuar aplicándola por el plazo que la Comisión les dé a conocer mediante oficio.

Lo anterior, sin perjuicio de que dicha Comisión pueda modificar las referidas facilidades administrativas, por virtud de la entrada en vigor de la presente Resolución.

Quinta. – Las Entidades deberán dar cumplimiento a las obligaciones contenidas en la presente Resolución, en los términos y de conformidad con los plazos que se señalan a continuación:

I. Cuatro meses contados a partir de la entrada en vigor de la presente Resolución para modificar el Manual de Cumplimiento y presentarlo a la Comisión.

II. Nueve meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para modificar la metodología a que hace referencia el Capítulo II Bis de las Disposiciones.

III. Dieciocho meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para actualizar los sistemas automatizados a que se refiere la 54ª de las Disposiciones.

Sexta.- En caso de que las Entidades actualicen el supuesto previsto en el artículo 7, fracción I párrafo segundo del Anexo 2 que se reforma con la presente Resolución, deberán informar a través del correo electrónico prevencion.lavado@cnbv.gob.mx, mediante escrito libre dirigido a las Direcciones Generales de Prevención de Operaciones con Recursos de Procedencia Ilícita A y B de la Comisión, la situación prevista en dicho artículo, en tanto la Comisión establezca los medios electrónicos idóneos para que las Entidades cumplan con lo previsto en dicho artículo.

Séptima.- Aquellas referencias de beneficiario final que se encuentren previstas en otro marco normativo,

lineamientos o guías emitidas por las autoridades competentes en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo distinto a las presentes Disposiciones, así como en las bases de datos públicas de consulta a cargo de las autoridades competentes, las Entidades podrán equipararlo al término definido de Propietario Real a que se refiere las presentes Disposiciones.

Páginas: 1 2 3 4 5 6 7

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *