herramientas para cumplir con el capÍtulo vi · identity management (pim) ayuda a descubrir,...
TRANSCRIPT
1 © 2019 Microsoft. Todos los derechos reservados
HERRAMIENTAS PARA CUMPLIR CON EL CAPÍTULO VI
“DE LA SEGURIDAD DE LA INFORMACIÓN”
DE LAS DISPOSICIONES GENERALES APLICABLES
A LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
© 2019 Microsoft. Todos los derechos reservados
Publicado en agosto de 2019
Versión 1.0
2 © 2019 Microsoft. Todos los derechos reservados
Este documento contiene algunos comentarios sobre los lineamientos
detallados en el Capítulo VI “De la seguridad de la información” de las
Disposiciones Generales aplicables a las Instituciones de Tecnología Financiera
publicado por la Comisión Nacional de Bancaria y de Valores (CNBV) el 25 de
marzo de 2019 en el Diario Oficial de la Federación, según lo interpreta Microsoft
en la fecha de su publicación. Sin embargo, la aplicación de los lineamientos y
buenas prácticas para la gestión de ciberseguridad emitidos por SHCP y CNBV,
Administración monetaria y financiera, es altamente factual, y no todos los
aspectos e interpretaciones están completamente asentados.
Como resultado de lo anterior, este documento ha sido preparado únicamente
con fines informativos, y no debe ser considerado como asesoría legal. Le
sugerimos trabajar con un profesional legal calificado a fin de discutir el alcance
de estos lineamientos, la aplicación específica de dicho reglamento a su
organización, y la mejor manera de asegurar el cumplimiento con dicha
regulación.
Microsoft no hace ningún tipo de compromiso expreso o implícito en cuanto a
la Información aquí contenida. La información y las opiniones expresadas en
este documento, incluyendo las referencias a sitios web de Internet, pueden
cambiar sin previo aviso.
Este documento no le otorga derecho legal alguno sobre la propiedad
intelectual de Microsoft en ninguno de sus productos. Usted puede utilizar este
documento solamente con fines internos de referencia.
Publicado en agosto de 2019
Versión 1.0
© 2019 Microsoft. Todos los derechos reservados.
AVISO
3 © 2019 Microsoft. Todos los derechos reservados
INTRODUCCIÓN
La seguridad es fundamental para nuestra misión de empoderar a cada persona
y cada organización en el planeta para lograr más. Partimos de un enfoque
basado en principios para construir la confianza, con fuertes compromisos con
la protección de los datos, la seguridad, el cumplimiento normativo y la
transparencia. Estamos aplicando estos principios a medida que nuevas
normativas se hacen obligatorias en la región.
Sabemos que el cumplimiento normativo, sin que implique una carga
operacional para nuestros clientes es un desafío, que llevará a la adopción de
herramientas, procesos y experiencia, y puede requerir cambios significativos en
sus prácticas de protección de información. Su ruta de cumplimiento será más
fácil si usted opera con un modelo de servicios de nube pues garantiza una
buena arquitectura, productos desarrollados con características de seguridad y
un programa de gobernanza de datos eficaz. Cuando se trata de cumplimiento
regulatorio Microsoft y nuestro extenso ecosistema de socios pueden ayudarle.
El 10 de septiembre de 2018 la Secretaria de Hacienda y Crédito Público, a través
de la Comisión Nacional Bancaria y de Valores emitió las Disposiciones
Generales aplicables a las Instituciones de Tecnología Financiera, modificadas
mediante resolución publicada en el Diario Oficial de la Federación el 25 de
marzo de 2019, en virtud de dichas modificaciones, se adicionó el capítulo VI
“De la seguridad de la información”, el cual establece disposiciones generales
de manejo de información, responsabilidades y obligatoriedad de contar con
un Oficial de Seguridad de la Información CISO Chief Information Security
Officer (por sus siglas en inglés) y el reporte a incidentes de seguridad. El
presente documento se centrará en comentar el primer objetivo.
En esta guía, usted podrá encontrar cómo los productos y servicios Microsoft le
ayudan a cumplir con requerimientos emitidos por las mencionadas
disposiciones.
4 © 2019 Microsoft. Todos los derechos reservados
Capítulo VI De la seguridad de la información 5
Fracción III – Apartado B) 6
Azure 6
Apartado c) 7
Windows y Windows Server 7
Fracción VI - Apartado a) 8
Azure 9
SQL Server Database y Azure SQL Database 9
Windows y Windows Server 10
Apartado b) 11
SQL Server Database y Azure SQL Database 11
Azure 13
Fracción VIII 13
Azure 13
SQL Server y Azure SQL Database 14
Windows 15
Fracción IX 15
Enterprise Mobility +Security (EMS) 15
Windows 17
Office y Office 365 17
SQL Server y Azure SQL Database 18
Azure 19
Fracción XIV 20
Enterprise Mobility + Security Suite (EMS) 20
Windows y Windows Server 21
Office 365 22
Fracción IV 23
Office 365 23
Microsoft Premier 24
CONTENIDO
5 © 2019 Microsoft. Todos los derechos reservados
CAPÍTULO
VI
DE LA SEGURIDAD DE LA
INFORMACIÓN
6 © 2019 Microsoft. Todos los derechos reservados
AZURE
• Azure Active Directory (Azure AD)1 de Enterprise Mobility + Security le ayuda a proteger
su organización en el nivel de acceso mediante la administración y protección de sus
identidades, incluidas sus identidades privilegiadas y no privilegiadas. Azure AD
proporciona una identidad común protegida para acceder a miles de aplicaciones. Azure
AD Premium ofrece Autenticación Multifactor, que es el control de acceso basado en la
salud del dispositivo, la ubicación del usuario, el riesgo de identidad y, de entrada, así
como en los informes, auditorías y alertas de seguridad holística. Azure AD Privileged
Identity Management (PIM) ayuda a descubrir, restringir y monitorear las identidades
privilegiadas y su acceso a los recursos a través de un asistente de seguridad, revisiones
y alertas. Esto permite escenarios como el acceso temporal "justo a tiempo" y la creación
de perfiles de administrador limitados con acceso "suficiente".
• Azure Role-Based Access Control (RBAC)2 le ayuda a administrar el acceso a sus
recursos de Azure. Esto le permite conceder acceso basado en el rol del usuario, lo que
facilita la concesión de permisos requeridos sólo a los usuarios que lo requieran para
1 https://azure.microsoft.com/en-us/services/active-directory/ 2 https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles
Configuración segura de acuerdo con el tipo de componente, considerando al menos, puertos y
servicios, permisos otorgados bajo el principio de mínimo privilegio, uso de medios extraíbles de
almacenamiento, listas de acceso, actualizaciones del fabricante y reconfiguración de parámetros de
fábrica. Se entenderá como principio de mínimo privilegio a la habilitación del acceso únicamente a la
información y recursos necesarios para el desarrollo de las funciones propias de cada Usuario de la
Infraestructura Tecnológica.
ARTÍCULO 63 - FRACCIÓN III - APARTADO B)
7 © 2019 Microsoft. Todos los derechos reservados
realizar sus trabajos. Puede personalizar RBAC según el modelo de negocio de su
organización y la tolerancia al riesgo.
Windows y Windows Server
• BitLocker Drive Encryption3 en Windows 10 y Windows Server 2016 proporciona encriptación
de nivel empresarial para ayudar a proteger sus datos cuando un dispositivo se pierde o es
robado. BitLocker encripta completamente el disco y las unidades flash de su equipo para
evitar que los usuarios no autorizados accedan a sus datos.
• Shielded Virtual Machines4 permite utilizar BitLocker para cifrar discos y máquinas virtuales
(VMS) que se ejecutan en Hyper-V, para evitar que los administradores malintencionados o
comprometidos ataquen el contenido de las VMs protegidas.
3 https://www.microsoft.com/en-us/download/details.aspx?id=53006 4 https://channel9.msdn.com/Shows/Mechanics/Introduction-to-Shielded-Virtual-Machines-in-Windows-
Server2016
Mecanismos de seguridad en las aplicaciones que procuren que, durante su ejecución se protejan de
ataques o intrusiones, tales como inyección de código, manipulación de la sesión, fuga de información,
alteración de privilegios de acceso, entre otros. Dichos mecanismos deberán de ser implementados tanto
para las aplicaciones proporcionadas por terceros como para las aplicaciones desarrolladas,
implementadas y mantenidas por la propia institución de financiamiento colectivo.
APARTADO C)
8 © 2019 Microsoft. Todos los derechos reservados
• Windows Defender Antivirus5 es una solución antimalware robusta que empieza a trabajar
rápidamente a fin de ayudarle a mantenerse protegido. Windows Defender antivirus es
rápido para detectar y proteger contra el malware emergente, e inmediatamente puede
ayudar a proteger sus dispositivos cuando una amenaza se observa por primera vez en
cualquier parte de su entorno.
• Device Guard6 le permite bloquear sus dispositivos y servidores para protegerse de nuevas
y desconocidas variantes de malware y amenazas persistentes avanzadas. A diferencia de
las soluciones basadas en la detección, como los programas antivirus que necesitan una
actualización constante para detectar las últimas amenazas, Device Guard bloquea los
dispositivos para que sólo puedan ejecutar las aplicaciones que usted autorice, lo cual es
una forma eficaz de combatir el malware.
• Credential Guard7 es una característica que aísla sus secretos en un dispositivo, como sus
credenciales de inicio de sesión único, en caso el sistema operativo de Windows se vea
comprometido. Esta solución impide fundamentalmente el uso de ataques difíciles de
defender, como el de "pasar el hash".
5 https://www.microsoft.com/en-us/windows/comprehensive-security 6 https://docs.microsoft.com/en-us/windows/security/threat-protection/device-guard/introduction-to-
deviceguard-virtualization-based-security-and-windows-defender-application-control 7 https://www.microsoft.com/en-us/download/details.aspx?id=53337
Mecanismos de identificación y Autenticación de todos y cada uno de los Usuarios de la Infraestructura
Tecnológica, que permitan reconocerlos de forma inequívoca y aseguren el acceso únicamente a las
personas autorizadas expresamente para ello, bajo el principio de mínimo privilegio.
Para lo anterior, se deberán incluir controles pertinentes para aquellos Usuarios de la Infraestructura
Tecnológica con mayores privilegios, derivados de sus funciones, tales como la de administración de
bases de datos, sistemas operativos y aplicativos.
FRACCIÓN VI - APARTADO A)
9 © 2019 Microsoft. Todos los derechos reservados
Azure
• Privileged identity manager 8Just Enough Administration and Just in Time Administration 9permite a los administradores realizar sus trabajos y acciones regulares, al tiempo que
permite limitar el alcance de las capacidades y el tiempo que los administradores pueden
ejecutar. Si una credencial privilegiada se ve comprometida, el alcance del daño es
severamente limitado. Esta técnica proporciona a los administradores sólo el nivel de
acceso que requieren durante el tiempo que están trabajando en el proyecto.
SQL Server Database y Azure SQL Database
• Autenticación de SQL Server10 le ayuda a garantizar que sólo los usuarios autorizados con
credenciales válidas puedan acceder a su servidor de base de datos. SQL Server soporta
tanto la autenticación en Windows como los inicios de sesión en SQL Server. La
autenticación en Windows ofrece seguridad integrada y se recomienda como opción más
segura ya que el proceso de autenticación está completamente encriptado. Azure SQL
Database soporta la autenticación de Azure Active Directory11, que ofrece una única
capacidad de iniciar sesión y es compatible con dominios administrados e integrados.
8 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-privileged-identity-management-
configure 9 https://channel9.msdn.com/Blogs/windowsserver/Just-Enough-and-Just-in-Time-Administration-in-Windows-
Server-2016 10 https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/authentication-in-sql-server 11 https://docs.microsoft.com/en-us/azure/sql-database/sql-database-aad-authentication
10 © 2019 Microsoft. Todos los derechos reservados
• Autorización de SQL Server12 permite administrar permisos de acuerdo con el principio de
privilegio mínimo. SQL Server y SQL Database utilizan seguridad basada en roles, que
admite el control granular de los permisos de datos mediante la administración de
membresía basada en roles13 y permisos a nivel de objeto14.
Windows y Windows Server
Windows 10 y Windows Server 2016 incluyen tecnología de cifrado líder en la industria,
herramientas antimalware y soluciones de identidad y acceso que le permiten transicionar
del uso de contraseñas a formas de autenticación más seguras:
• Windows Hello15 es una alternativa a las contraseñas, conveniente y de nivel empresarial,
que utiliza un método natural (biometría) o familiar (PIN) para validar la identidad,
proporcionando los beneficios de seguridad de las tarjetas inteligentes sin necesidad de
periféricos adicionales.
12 https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/authorization-and-permissions-in-
sqlserver
13 https://docs.microsoft.com/en-us/sql/relational-databases/security/authentication-access/database-level-roles 14 https://docs.microsoft.com/en-us/sql/relational-databases/security/permissions-database-engine 15 https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-
identityverification
11 © 2019 Microsoft. Todos los derechos reservados
SQL Server Database y Azure SQL Database
SQL Server Database y Azure SQL Database proporcionan controles para administrar el
acceso y las autorizaciones a bases de datos en varios niveles:
• Azure SQL Database Firewall16 limita el acceso a las bases de datos individuales dentro
de su Azure SQL Database, restringiendo el acceso exclusivamente a conexiones
autorizadas. Puede crear reglas de firewall en los niveles de servidor y base de datos,
especificando intervalos de IP aprobados para conectarse.
• Enmascaramiento Dinámico de Datos (DDM)17 es una capacidad integrada que se puede
utilizar para limitar la exposición de datos sensibles enmascarando los datos cuando se
accede a usuarios o aplicaciones que no tienen privilegios. Los campos de datos
designados se enmascaran en los resultados de la consulta en el momento de la marcha,
mientras que los datos de la base de datos permanecen inalterados. DDM es simple de
configurar y no requiere cambios en la aplicación. Para los usuarios de Azure SQL
16 https://docs.microsoft.com/en-us/azure/sql-database/sql-database-firewall-configure 17 https://docs.microsoft.com/en-us/sql/relational-databases/security/dynamic-data-masking
Cifrado de la información conforme al grado de sensibilidad o clasificación de la información que la
institución de financiamiento colectivo determine y establezca en sus políticas, cuando dicha información
sea transmitida, intercambiada y comunicada entre componentes o almacenada en la Infraestructura
Tecnológica o se acceda de forma remota.
APARTADO B)
12 © 2019 Microsoft. Todos los derechos reservados
Database18, el enmascaramiento dinámico de datos puede descubrir automáticamente
datos potencialmente sensibles y sugerir las máscaras apropiadas que se aplicarán.
• Seguridad a Nivel de Fila (RLS)19 es una capacidad incorporada adicional que permite a
los clientes de SQL Server y de bases de datos SQL implementar restricciones en el
acceso a filas de datos. El RLS se puede utilizar para habilitar el acceso de grano fino
sobre las filas de una tabla de base de datos, para un mayor control sobre qué usuarios
pueden acceder a qué datos. Dado que la lógica de restricción de acceso se encuentra
en el nivel de base de datos, esta capacidad simplifica enormemente el diseño y la
implementación de la seguridad de las aplicaciones.
SQL Server y la base de datos SQL proporcionan un poderoso conjunto de capacidades
integradas que salvaguardan los datos e identifican cuándo se produce una brecha de datos:
• Cifrado de Datos Transparente20 protege los datos en reposo mediante el cifrado de la
base de datos, las copias de seguridad asociadas y los archivos de registro de
transacciones en la capa de almacenamiento físico. Este cifrado es transparente para la
aplicación y utiliza la aceleración de hardware para mejorar el rendimiento.
➢ La seguridad de la capa de transporte (TLS) proporciona protección de los datos en
tránsito en las conexiones de bases de datos SQL.
• Siempre Encriptado21 es una primera característica de la industria que está diseñada para
proteger datos altamente sensibles en SQL Server y la base de datos SQL. Siempre
encriptado permite a los clientes encriptar datos sensibles dentro de aplicaciones cliente
y nunca revelar las claves de encriptación al motor de base de datos. El mecanismo es
transparente para las aplicaciones, ya que el cifrado y descifrado de los datos se realiza
de forma transparente en un controlador de cliente Siempre Encriptado.
18 https://docs.microsoft.com/en-us/azure/sql-database/sql-database-dynamic-data-masking-get-started 19 https://docs.microsoft.com/en-us/sql/relational-databases/security/row-level-security 20 https://msdn.microsoft.com/en-us/library/bb934049.aspx 21 https://msdn.microsoft.com/library/mt163865.aspx
13 © 2019 Microsoft. Todos los derechos reservados
Azure
• Cifrado de Datos 22 en Azure asegura sus datos en reposo y en tránsito. Puede, por
ejemplo, encriptar automáticamente sus datos cuando se almacenan en Azure Storage
mediante Storage Service Encryption. Además, puede utilizar Azure Disk Encryption para
cifrar los sistemas operativos y los discos de datos utilizados por las máquinas virtuales
Windows y Linux. Los datos se protegen en tránsito entre una aplicación y Azure para
que siempre permanezcan altamente seguros.
Azure
• Azure Log Analytics23 proporciona opciones configurables de Auditoría y Registro de
Seguridad 24que pueden ayudarle a recopilar y analizar los datos generados por los
recursos tanto en su entorno Cloud como en el local.
22 https://docs.microsoft.com/en-us/azure/security/azure-security-data-encryption-best-practices 23 https://azure.microsoft.com/en-us/services/log-analytics/ 24 https://www.microsoft.com/en-us/trustcenter/Security/AuditingAndLogging
Que mantenga registros de auditoría íntegros, incluyendo la información detallada de los accesos o
intentos de acceso y la operación o actividad efectuada por los Usuarios de la Infraestructura
Tecnológica.
FRACCIÓN VIII
14 © 2019 Microsoft. Todos los derechos reservados
Las capacidades de registro y auditoria le permiten:
o Crear un seguimiento de auditoría para aplicaciones implementadas en Azure y
de máquinas virtuales creadas a partir de Azure Virtual Machine Gallery.
o Realizar análisis centralizados de grandes conjuntos de datos mediante la
recopilación de eventos de seguridad de Azure tanto en la dimensión de
infraestructura como servicio (IaaS) como en la de plataforma como servicio
(PaaS). Puede así mismo utilizar Azure HDInsight para agregar y analizar estos
eventos, y exportarlos a los sistemas de SIEM en servidores locales para
adelantar un monitoreo continuo.
o Monitorear el acceso y uso aprovechando las características de registro Azure
de las operaciones administrativas, incluido los accesos al sistema, para crear
una pista de auditoría en caso de cambios no autorizados o accidentales. Puede
recuperar registros de auditoría para su inquilino de Azure Active Directory y
ver los informes de acceso y uso.
o Exportar alertas de seguridad a los sistemas SIEM en servidores locales utilizando
o Azure Diagnostics, los cuales se pueden configurar para recopilar registros de
eventos de seguridad de Windows y otros registros específicos de seguridad.
o Obtener herramientas de monitoreo, reporte y alertas de seguridad de terceros
en Azure Marketplace.
SQL Server y Azure SQL Database
SQL Server y SQL Database proporcionan un poderoso conjunto de capacidades integradas
que identifican cuándo se produce una violación de seguridad de datos:
• Auditing for SQL Database25 y SQL Server Audit26 rastrean eventos que ocurran en las
bases de datos y los graba en un registro de auditoría. Los servicios de Auditoría le
25https://docs.microsoft.com/en-us/azure/sql-database/sql-database-auditing 26 https://docs.microsoft.com/en-us/sql/relational-databases/security/auditing/sql-server-audit-database-engine
15 © 2019 Microsoft. Todos los derechos reservados
permiten comprender las actividades en curso en una base de datos, así como analizar
e investigar la actividad histórica para identificar posibles amenazas o sospechas de
abuso y/o violaciones de seguridad.
Windows
• El registro de sucesos de Windows proporciona capacidades robustas de registro de
eventos que permiten a los administradores ver información registrada sobre las
actividades del sistema operativo, la aplicación y el usuario. Este sistema de registro se
puede configurar para auditar las acciones detalladas de usuario y aplicación, incluyendo
el acceso a archivos, el uso de aplicaciones y los cambios de políticas, sólo por nombrar
algunos. El registro de sucesos de Windows también permite a los administradores
reenviar eventos de clientes y servidores a una ubicación central para reportar y auditar
los propósitos.
Enterprise Mobility +Security (EMS)
Nuestra inteligencia de amenazas exhaustiva utiliza analíticas de comportamiento de
vanguardia y tecnologías de detección de anomalías para descubrir actividades
Que para la atención de los Eventos de Seguridad de la Información e Incidentes de Seguridad de la
Información se cuente con procesos de gestión que aseguren la detección, clasificación, atención y
contención, investigación y, en su caso, análisis forense digital, diagnóstico, reporte a áreas competentes,
solución, seguimiento y comunicación a autoridades, Clientes y contrapartes.
FRACCIÓN IX
16 © 2019 Microsoft. Todos los derechos reservados
sospechosas y localizar amenazas, tanto en implementaciones locales como en la nube. Eso
incluye ataques maliciosos conocidos (como Pass the Hash, Pass the Ticket) y
vulnerabilidades de seguridad en su sistema. Puede tomar medidas inmediatas contra
ataques detectados y optimizar la recuperación con un soporte potente. Nuestra
inteligencia de amenazas se realza con el Microsoft Intelligent Security Graph, impulsado
por un gran número de conjuntos de datos y aprendizaje automático en la nube:
• Microsoft Cloud App Security27 la nube es una realidad innegable y los empleados de
una organización van a utilizarlas. Para TI es importante estar a la vanguardia y contar
con herramientas que les ayuden a controlar este nuevo ecosistema. Cloud App Security
que ayuda a la organización a mantener el control de las aplicaciones de nube dejándolo
entrever la actividad de estas dentro de su entorno corporativo. También ayuda a
incrementar la protección de información sensible atreves de las diferentes aplicaciones
de nube. Esto lo hace con tres pilares principales:
o Cloud Discovery28: Descubre todas las aplicaciones de cloud que se estén
utilizando dentro de la organización sean o no sancionadas por la empresa.
o Data protection: Monitorea y controla la información que se está manejando
en las aplicaciones de nube aumentad la visibilidad hacia esta, habilitando la
posibilidad de implementar políticas de DLP, crear alertas y ayudar con
investigaciones.
o Threat Protection: Detecta uso anómalo e incidentes de seguridad. Utiliza
análisis de comportamiento y herramientas avanzadas de investigación para
mitigar el riesgo e implementar políticas y alertas con el fin de tener mayor
control sobre el tráfico de aplicaciones de nube.
• Microsoft Advanced Threat Protection29 (ATA) es un producto que corre en las
instalaciones de una empresa para ayudar a los profesionales de seguridad de TI a
proteger a su organización de ataques avanzados dirigidos, analizando e identificando
automáticamente comportamientos normales y anormales en la entidad (usuario,
dispositivos y recursos) y aprendiendo de los mismos. ATA identifica las amenazas
persistentes avanzadas (APTs) en las instalaciones mediante la detección de
27 https://docs.microsoft.com/es-es/cloud-app-security/what-is-cloud-app-security 28 https://docs.microsoft.com/es-es/cloud-app-security/set-up-cloud-discovery 29 https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics
17 © 2019 Microsoft. Todos los derechos reservados
comportamientos sospechosos de los usuarios y las entidades (dispositivos y recursos),
utilizando el aprendizaje de máquinas y la información en los registros de eventos de
Active Directory, SIEM Systems y Windows. También detecta ataques maliciosos
conocidos (como Pass the Hash). Por último, proporciona una línea de tiempo de ataque
simple con información clara y relevante de ataque, por lo que usted puede centrarse
rápidamente en lo que es importante.
Windows
• Windows Defender Advanced Threat Protection (ATP)30 permite que sus equipos de
operaciones de seguridad detecten, investiguen, contengan y respondan a las
violaciones de seguridad de datos en su red. Con Windows Defender ATP, se obtienen
capacidades de detección avanzadas, herramientas de investigación y capacidades de
respuesta frente a violaciones de seguridad en todos los equipos con hasta 6 meses de
datos históricos, incluso cuando los equipos están fuera de línea, fuera del dominio de
red, se han reconfigurado o ya no existen. Windows Defender ATP le ayuda a cumplir un
requisito clave, que es el de contar con procedimientos claros para la detección,
investigación y notificación de violaciones de la seguridad de infraestructura crítica.
Office y Office 365
Office 365 cuenta con varias funcionalidades que le ayudan a identificar y responder cuando
se produce una violación de la ciberseguridad:
• Threat Intelligence31 le ayuda a descubrir y protegerse proactivamente contra las
amenazas avanzadas en Office 365. Un conocimiento profundo sobre las amenazas,
disponibles en parte debido a la presencia global de Microsoft, junto con el Intelligent
30 https://www.microsoft.com/en-us/WindowsForBusiness/windows-atp 31 https://blogs.office.com/en-us/2016/09/26/applying-intelligence-to-security-and-compliance-in-office-365/
18 © 2019 Microsoft. Todos los derechos reservados
Security Graph32, y los aportes de los cazadores de amenazas cibernéticas, le permiten
habilitar alertas, políticas dinámicas y soluciones de seguridad de manera rápida y eficaz.
• Advanced Security Management33 le permite identificar usos de alto riesgo o anormal,
lo que le alerta de posibles violaciones de seguridad. Además, le permite configurar
políticas de actividad para realizar un seguimiento y responder a acciones de alto riesgo
y actividades sospechosas. Y también puede obtener Productivity App Discovery, que le
permite utilizar la información de los archivos de registro de su organización para
entender y actuar en el uso de la aplicación de sus usuarios en Office 365 y otras
aplicaciones de nube.
• Secure Score34 le proporciona información sobre su posición de seguridad y qué
características están disponibles para reducir el riesgo, al mismo tiempo que equilibra la
productividad y la seguridad.
• Advanced Threat Protection35 (ATP) para Exchange Online ayuda a proteger su correo
electrónico contra nuevos y sofisticados ataques de malware en tiempo real. También le
permite crear políticas que ayudan a evitar que sus usuarios accedan a archivos adjuntos
o sitios Web maliciosos recibidos vía correo electrónico. ATP para Exchange Online
incluye protección contra malware y virus desconocidos, protección de “tiempo de clic”
contra URLs maliciosas y capacidades de reporte y seguimiento de URL enriquecidas.
SQL Server y Azure SQL Database
SQL Server y SQL Database proporcionan un poderoso conjunto de capacidades integradas
que identifican cuándo se produce una violación de seguridad de datos:
32 https://www.microsoft.com/en-us/security/intelligence 33 https://blogs.office.com/en-us/2016/06/01/gain-enhanced-visibility-and-control-with-office-365-
advancedsecurity-management/ 34 https://support.office.com/en-US/article/Introducing-the-Office-365-Secure-Score-c9e7160f-2c34-4bd0-
a5485ddcc862eaef 35 https://products.office.com/en-us/exchange/online-email-threat-protection
19 © 2019 Microsoft. Todos los derechos reservados
• SQL Database Threat Detection36 detecta actividades anómalas de base de datos que
indican posibles amenazas de seguridad para la base de datos. La detección de
amenazas utiliza un conjunto avanzado de algoritmos para aprender continuamente y
perfilar el comportamiento de las aplicaciones, y notifica inmediatamente al detectar una
actividad inusual o sospechosa. La detección de amenazas puede ayudarle a cumplir con
el requerimiento de notificación de violación de datos.
Azure
Los servicios integrados de Azure le permiten comprender de forma más rápida y sencilla
la postura general de seguridad, así como detectar e investigar las amenazas a su entorno
de nube. Azure Security center37 emplea analítica de seguridad avanzada. Los avances en
tecnologías de datos de gran escala y de aprendizaje de máquinas permiten evaluar eventos
en todo el tejido de la nube, detectando amenazas que serían imposibles de identificar
manualmente y predecir la evolución de los ataques. Estos análisis de seguridad incluyen:
• Una Inteligencia de amenazas integrada, la cual busca malos actores conocidos
utilizando la información de inteligencia global de amenazas de productos y servicios de
Microsoft, proveniente de la unidad de delitos digitales de Microsoft (DCU), del Microsoft
Security Response Center (MSRC) y de feeds externos.
• Analítica conductual, aplicando patrones conocidos para descubrir comportamientos
maliciosos.
• Además, Security Center proporciona alertas de seguridad priorizadas que le brindan
información sobre las campañas de ataque, incluyendo eventos relacionados y recursos
impactados.
• La detección de anomalías, que utiliza perfiles estadísticos para construir una línea de
base histórica, alertando sobre las desviaciones de las líneas de base establecidas que se
ajusten a un potencial vector de ataque.
36 https://docs.microsoft.com/en-us/azure/sql-database/sql-database-threat-detection 37 https://azure.microsoft.com/en-us/services/security-center/
20 © 2019 Microsoft. Todos los derechos reservados
En adición el punto anterior que trata sobre mecanismos automatizados de detección y
prevención, están los siguientes que tratan además de prevención de fuga de información.
Enterprise Mobility + Security Suite (EMS)38
Ofrece tecnologías de seguridad impulsadas por la identidad que le ayudan a descubrir,
controlar y salvaguardar los datos que posee su organización, así como a revelar posibles
puntos ciegos y detectar cuándo se producen violaciones de seguridad de los datos
almacenados.
• Microsoft Cloud App Security39 es un servicio integral que le proporciona una visibilidad
más profunda, controles completos y una mejor protección para sus datos en sus
aplicaciones en la nube. Puede tener visibilidad de las aplicaciones Cloud que se utilizan
38 https://www.microsoft.com/en-us/cloud-platform/enterprise-mobility-security 39 https://www.microsoft.com/en-us/cloud-platform
Que cuente con dispositivos o mecanismos automatizados para detectar y prevenir Eventos de
Seguridad de la Información e Incidentes de Seguridad de la Información, así como para evitar
conexiones y flujos de datos entrantes o salientes no autorizados y fuga de información considerando,
entre otros, medios de almacenamiento removibles.
FRACCIÓN XIV
21 © 2019 Microsoft. Todos los derechos reservados
en la red, identificar más de 13.000 aplicaciones de todos los dispositivos, y obtener
evaluaciones de riesgos y analíticas continuas.
• Azure Information Protection40 proporciona registros y reportes detallados para
analizar cómo se distribuyen los datos sensibles. El seguimiento de documentos le
permite a los usuarios y administradores supervisar las actividades en conjunto de datos
compartidos y revocar el acceso ante eventos inesperados. Azure Information
Protection también proporciona capacidades para analizar datos no estructurados que
residen en recursos compartidos de archivos, sitios y bibliotecas de SharePoint,
repositorios en línea y unidades de escritorio o portátiles. Con el acceso a los archivos,
puede escanear el contenido de cada archivo y determinar si ciertas clases de datos
personales existen en el archivo. A continuación, puede clasificar y etiquetar con una
etiqueta cada archivo basándose en el tipo de datos presentes. Además, puede generar
informes de este proceso, con información sobre los archivos escaneados, las directivas
de clasificación que coinciden y la etiqueta que se aplicó.
Windows y Windows Server
• Windows Information Protection41 recoge donde BitLocker deja. Aunque BitLocker
protege todo el disco de un dispositivo, la protección de la información de Windows
protege sus datos de usuarios no autorizados y aplicaciones que se ejecutan en un
equipo. También le ayuda a evitar que los datos se filtren desde negocios hasta
documentos no comerciales o a ubicaciones en la Web.
40 https://docs.microsoft.com/en-us/information-protection/understand-explore/what-is-information-protection 41 https://docs.microsoft.com/en-us/windows/security/information-protection/windows-
informationprotection/protect-enterprise-data-using-wip
22 © 2019 Microsoft. Todos los derechos reservados
Office 365
• Data Loss Prevention42 (DLP) en Office y Office 365 puede identificar más de 80 tipos
comunes de datos sensibles43 incluyendo información financiera, médica y datos
personales.
• Information Rights Management44 (IRM) le ayuda a usted y a sus usuarios a evitar que la
información confidencial se imprima, reenvíe, guarde, edite o copie por personas no
autorizadas. Con IRM en SharePoint Online, usted puede limitar las acciones que los
usuarios pueden tomar en los archivos que han sido descargados de listas o bibliotecas,
como imprimir copias de los archivos o copiar texto de ellos. Con IRM en Exchange
Online, usted puede ayudar a evitar que la información confidencial de los mensajes de
correo electrónico y los archivos adjuntos se filtren por correo electrónico, sea que los
equipos estén en línea o sin conexión.
• Mobile Device Management45 (MDM) para Office 365 le permite configurar políticas y
reglas para ayudar a asegurar y administrar iPhones, iPads y dispositivos móviles Android
y Windows registrados por sus usuarios. Por ejemplo, puede borrar un dispositivo de
forma remota y ver informes detallados de los dispositivos. Office 365 también utiliza
autenticación multifactorial para ayudar a proporcionar seguridad adicional.
42 https://support.office.com/en-US/article/Overview-of-data-loss-prevention-policies-1966b2a7-d1e2-4d92-
ab6142efbb137f5e 43 https://technet.microsoft.com/en-us/library/jj150541(v=exchg.160).aspx 44 https://technet.microsoft.com/en-us/library/dn792011.aspx 45 https://support.office.com/en-us/article/Set-up-Mobile-Device-Management-MDM-in-Office-365-
dd892318bc44-4eb1-af00-9db5430be3cd
23 © 2019 Microsoft. Todos los derechos reservados
• Advance Data Governance 46 utiliza información de inteligencia y asistencia asistida por
máquina para ayudarle a encontrar, clasificar, establecer políticas y tomar medidas para
administrar el ciclo de la información más importante para su organización.
Si bien Microsoft no tiene servicios de ethical hacking o pentesting que puedan ser
personalizados a las particularidades de cada cliente, tiene unos servicios que pueden
simular los pasos iniciales de un ataque.
Office 365
• Simulador de ataques47, es un servicio incluido en O365 Threat Intelligence48, únicamente
los miembros del equipo de seguridad pueden ejecutar ataques realísticos hacia la
46 https://blogs.office.com/en-us/2016/09/26/office-365-news-in-september-at-ignite-intelligence-security-
collaboration-and-more/ 47 https://support.office.com/en-us/article/attack-simulator-office-365-da5845db-c578-4a41-b2cb-
5a09689a551b 48 https://blogs.office.com/en-us/2016/09/26/applying-intelligence-to-security-and-compliance-in-office-365/
Contratar a un tercero independiente, con personal que cuente con capacidad técnica comprobable
mediante certificaciones de la industria en la materia, para la realización de pruebas de penetración en
los diferentes sistemas y aplicativos de la institución de financiamiento colectivo con la finalidad de
detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga o pueda
poner en riesgo la información y patrimonio de los Clientes y de la propia institución de financiamiento
colectivo. Tal revisión deberá incluir la verificación de la integridad de los componentes de hardware y
software que permitan detectar alteraciones de estos.
ARTÍCULO 64 - FRACCIÓN IV
24 © 2019 Microsoft. Todos los derechos reservados
organización. Este servicio le permite a la organización identificar y encontrar cuentas
vulnerables antes de que un atacante real comprometa una credencial.
Los tipos de ataques simulados disponibles son:
o Ataques de spear-phishing49
o Espray de contraseñas50
o Fuerza bruta de contraseñas51
Para que un ataque pueda ser ejecutado satisfactoriamente la cuenta que lo está
haciendo tiene que estar utilizando múltiple factor de autenticación, en una edición
futura también se va a poder activar acceso condicional a esta funcionalidad.
Algunos puntos para tener en cuenta son:
• Su organización tiene que tener O365 threat Intelligence con la opción de
Simulador de ataques visible en el Security & Compliance Center.
• El correo de la organización esta hosteado en Exchange Online (Esta
funcionalidad no está disponible para servidores de correo on-premises)
• La persona que ejecuta el ataque es un Administrador global del tenant de Office
365 asignado en el Security and Compliance Center
• Se está utilizando múltiple factor de autenticación para los usuarios de Office 365.
Microsoft Premier
Otra opción para evaluar los posibles riesgos e implementar mejores prácticas de seguridad
en la industria junto con capacidades de monitoreo son los servicios de Micrososft Premier.
49 https://support.office.com/en-us/article/attack-simulator-office-365-da5845db-c578-4a41-b2cb-
5a09689a551b#spearphish 50 https://support.office.com/en-us/article/attack-simulator-office-365-da5845db-c578-4a41-b2cb-
5a09689a551b#passwordspray 51 https://support.office.com/en-us/article/attack-simulator-office-365-da5845db-c578-4a41-b2cb-
5a09689a551b#bruteforce
25 © 2019 Microsoft. Todos los derechos reservados
En general los ataques utilizan frecuentemente vectores comunes como, por ejemplo,
vulneración de directorio activo para poder ganar acceso ilimitado a la red del cliente.
Microsoft cuenta con evaluaciones de seguridad de estos puntos críticos en los que se
enfocan hackers, ya sean éticos o no, para vulnerar completamente una organización. Estas
evaluaciones están dentro de la oferta de servicios proactivos y se conocen como RAP como
servicio52:
• Seguridad de Active Directory Disponible en modalidades en línea 53y sin conexión54. Se
centra en diagnosticar problemas de seguridad potenciales en el ambiente de Directorio
Activo y se especializa en una evaluación de la infraestructura para identificar
vulnerabilidades que puedan llevar a que el Directorio Activo sea comprometido. Esta
evaluación incluye protocolos frecuentemente utilizados para propagar malware en
redes, posibilidad de ataques estilo pass-the-hash y otros ataques de robo de
credenciales.
• Seguridad de Exhange Server Disponible únicamente en modalidad sin conexión55. Se
centra en diagnosticar problemas de seguridad potenciales en los servidores de
Exchange y se especializa en evaluar problemas inherentes al intercambio de mensajería
como, por ejemplo: políticas anti-phishing, anti-malware, seguridad de correos en
tránsito y reposo, permisos de bandejas de entrada y delegación, manejo de software y
actualizaciones entre otros.
Seguridad de SQL Server Disponible únicamente en modalidad sin conexión56. Se centra
en diagnosticar problemas de seguridad potenciales en los servidores de SQL y se
especializa en evaluar problemas inherentes a las bases de datos como, por ejemplo:
Ataques de inyección, separación del schema, firma de código, encripción de
información almacenada y de código, agents, copias de respaldo, clusters, entre otros.
52 https://services.premier.microsoft.com/assess?Culture=es-ES&CultureAutoDetect=true 53 https://go.microsoft.com/fwlink/?LinkID=691309 54 https://go.microsoft.com/fwlink/?LinkId=619022 55 https://go.microsoft.com/fwlink/?LinkId=619034 56 https://go.microsoft.com/fwlink/?LinkId=619065
26 © 2019 Microsoft. Todos los derechos reservados
• Seguridad de clientes de Windows Disponible únicamente en modalidad sin conexión57.
Se centra en diagnosticar problemas de seguridad potenciales en los clientes de
Windows y se especializa en evaluar problemas inherentes estos, por ejemplo:
Autenticación, configuración de encripción, almacenamiento de logs, políticas de
contraseñas, configuración de protocolos, accesos remotos. Integridad del sistema,
manejo de software y actualizaciones, ente otros.
• Seguridad de Windows Server Disponible únicamente en modalidad sin conexión58. Se
centra en diagnosticar problemas de seguridad potenciales en los Windows Server y se
especializa en una evaluación de vulnerabilidades en la infraestructura que puedan
conducir a un compromiso de un servidor dentro de la organización o ser utilizadas
como vector de escalación hacia el compromiso de toda la organización.
57 https://go.microsoft.com/fwlink/?LinkId=619068 58 https://go.microsoft.com/fwlink/?LinkId=619073
27 © 2019 Microsoft. Todos los derechos reservados
MANUAL
s DE OBLIGACIONES NORMATIVAS
PARA LAS INSTITUCIONES DE
TECNOLOGÍA FINANCIERA
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
CONTENIDO
OBJETIVO ....................................................................................................................................................................................................................... 1
INTRODUCCIÓN ............................................................................................................................................................................................................. 2
01. LEGISLACIÓN APLICABLE Y DEFINICIONES ................................................................................................................................................... 3
02. ÁMBITO DE APLICACIÓN ................................................................................................................................................................................... 1
03. INSTITUCIONES DE FINANCIAMIENTO COLECTIVO (EMPRESAS DE CROWDFUNDING). ......................................................................... 1
04. INSTITUCIONES DE FONDOS DE PAGO ELECTRÓNICOS (WALLETS) ......................................................................................................... 2
05. ACTIVOS VIRTUALES (CRIPTOMONEDAS) ...................................................................................................................................................... 2
06. DE LA SOLICITUD COMO INSTITUCIÓN DE TECNOLÓGICA FINANCIERA ................................................................................................... 1
PRESENTACIÓN DE SOLICITUD PARA OPERAR COMO ITF .................................................................................................................................. 1
PRESENTACIÓN DE DOCUMENTOS QUE DEBEN ACOMPAÑARSE A LA SOLICITUD COMO ITF ...................................................................... 2
PRESENTACIÓN DE DOCUMENTOS ADICIONALES QUE DEBERÁN ACOMPAÑAR A LA SOLICITUD. .............................................................. 3
ACREDITAR CUMPLIMIENTO 30 DÍAS ANTES DE OPERAR. .................................................................................................................................. 5
07. DE LAS OPERACIONES REALIZADAS CON ACTIVOS VIRTUALES ................................................................................................................ 6
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
PRESENTACIÓN DE LA SOLICITUD DE AUTORIZACIÓN PARA REALIZAR OPERACIONES CON ACTIVOS VIRTUALES ................................. 6
PRESENTACIÓN DE DOCUMENTOS QUE DEBEN ACOMPAÑAR A LA SOLICITUD PARA REALIZAR OPERACIONES CON ACTIVOS
VIRTUALES. ................................................................................................................................................................................................................ 7
DIVULGACIÓN DE RIESGOS EN OPERACIONES CON ACTIVOS VIRTUALES. ..................................................................................................... 7
08. DE LA SEGURIDAD DE LA INFORMACIÓN ....................................................................................................................................................... 8
IMPLEMENTACIÓN DE CONTROLES INTERNOS DE SEGURIDAD DE LA INFORMACIÓN. ................................................................................. 8
OBLIGACIONES EN RELACIÓN CON LA INFRAESTRUCTURA TECNOLÓGICA.................................................................................................... 9
NOMBRAMIENTO DE UN OFICIAL EN JEFE DE SEGURIDAD DE LA INFORMACIÓN (CISO, POR SUS SIGLAS EN INGLÉS) ......................... 11
09. DE LA CONSTANCIA ELECTRÓNICA SOBRE RIESGOS ............................................................................................................................... 13
OBTENCIÓN DE UNA CONSTANCIA ELECTRÓNICA SOBRE RIESGOS. ............................................................................................................. 13
10. PRESTACIÓN DE SERVICIOS DE TERCEROS ............................................................................................................................................... 13
CUMPLIMIENTO CON DISPOSICIONES PARA CONTRATAR CON TERCEROS. ................................................................................................. 13
PRESENTACIÓN DE DOCUMENTOS ADICIONALES A LA SOLICITUD DE PRESTACIÓN DE SERVICIOS DE TERCEROS. ............................ 14
PRESENTACIÓN DE SOLICITUD DE PRESTACIÓN DE SERVICIOS RELACIONADOS CON OPERACIONES CON ACTIVOS VIRTUALES. .... 15
11. CONCLUSIONES .............................................................................................................................................................................................. 17
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
OBJETIVO
El 9 de marzo de 2018 se publicó en
el Diario Oficial de la Federación la
Ley para Regular las Instituciones de
Tecnología Financiera con el objetivo
de brindar seguridad jurídica a los
usuarios de Operaciones de
Financiamiento Colectivo, de Fondos
de Pago Electrónico y de Activos
Virtuales a través de plataformas
electrónicas.
En este mismo sentido, el 10 de
septiembre del mismo año fueron
publicadas las Disposiciones de
Carácter General Aplicables a las
Instituciones de Tecnología
Financiera, modificadas mediante
resolución publicada en el Diario
Oficial de la Federación el 25 de
marzo de 2019 y, el 8 de marzo de
2019 se publicaron las Disposiciones
de Carácter General Aplicables a las
Instituciones de Crédito e
Instituciones de Tecnología
Financiera en las Operaciones que
realicen con Activos Virtuales; las
cuales buscan regular los aspectos
técnicos que rodean a las actividades
realizadas por Instituciones de
Tecnología Financiera.
En virtud de esta nueva legislación, el
presente manual tiene como objetivo
brindar una guía de cumplimiento al
marco legal para que los interesados
en constituirse y operar como
Instituciones de Financiamiento
Colectivo e Instituciones de Pago
Electrónico, cuenten con una
herramienta que los ayude a cumplir
con las disposiciones de la Ley para
Regular las Instituciones de
Tecnología Financiera (Ley Fintech)
relativas a seguridad y
confidencialidad de la información,
control de riesgos operativos,
estándares de custodia, control de
activos virtuales, protección de datos
personales, soporte tecnológico
seguro, confiable y preciso, así como
a las obligaciones de gestión de bases
de datos e infraestructura tecnológica,
con la finalidad de consolidarse como
Institución de Tecnología Financiera
(ITF) y realizar actividades de carácter
electrónico en el Mercado Financiero
Mexicano.
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
1
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
INTRODUCCIÓN
➔ A fin de consolidarse y operar como una Institución de
Tecnología Financiera, es necesario que las compañías
interesadas presenten una solicitud para obtener una
autorización como ITF ante la Comisión Nacional Bancaria
y de Valores (CNBV) y cumplan con una serie de requisitos
que se detallarán más adelante.
➔ En el presente manual se describirán las acciones que
deben llevar a cabo los interesados a fin de cumplir
íntegramente los requisitos de una solicitud y conseguir
exitosamente la autorización como IFT, a fin de
consolidarse en el mercado mexicano y realizar actividades
de tipo financiero a través de medios electrónicos.
➔ Este manual también presenta los requisitos con los que
deben de cumplir los interesados, al momento de la solicitud
y durante sus operaciones, en materia de seguridad y
confidencialidad de la información, control de riesgos
operativos, estándares de custodia, control de activos
virtuales, protección de datos personales, soporte
tecnológico seguro, confiable y preciso y gestión de bases
de datos e infraestructura tecnológica.
➔ La estructura que sigue el presente manual consiste en una
tabla con 5 columnas. La primera columna indica el tipo de
obligaciones con las que se debe cumplir; la segunda
columna establece los requisitos necesarios para cumplir
con la obligación señalada; en la tercera columna se
identifican las obligaciones adicionales que deberán cumplir
las IFC que pretendan operar como ITF; la cuarta columna
señala las obligaciones adicionales que deberán cumplir las
IFP para constituirse y operar como ITF; y la última columna
contiene observaciones que deberán ser tomadas en
cuenta por los usuarios.
➔ Por lo tanto, en todos los casos se deberá cumplir con lo
establecido en la segunda columna, agregando los
requisitos establecidos en la tercera y cuarta columnas,
según las actividades que se pretendan realizar.
2
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
01. LEGISLACIÓN APLICABLE Y DEFINICIONES
Para una mejor comprensión de este manual, los términos escritos en acrónimos tendrán los siguientes
significados:
➔ CISO: Oficial en Jefe de Seguridad de la Información.
➔ CNBV: Comisión Nacional Bancaria y de Valores.
➔ Criptomonedas: Activos Virtuales.
➔ Empresas de Crowdfunding: Instituciones de
Financiamiento Colectivo.
➔ Disposiciones CONDUSEF: Disposiciones de
Carácter General de la CONDUSEF en Materia de
Transparencia y Sanas Prácticas aplicables a las
Instituciones de Tecnología Financiera.
➔ Disposiciones Fintech: Disposiciones de Carácter
General Aplicables a las Instituciones de Tecnología
Financiera.
➔ DAV: Disposiciones de Carácter General Aplicables
a las Instituciones de Crédito e Instituciones de
Tecnología Financiera en las Operaciones que
Realicen con Activos Virtuales.
➔ IFC: Institución de Financiamiento Colectivo.
➔ IFP: Institución de Fondo de Pago Electrónico.
➔ ITF: Institución de Tecnología Financiera.
➔ Ley Fintech: Ley para Regular las Instituciones de
Tecnología Financiera.
➔ LIC: Ley de Instituciones de Crédito.
➔ Plan Director de Seguridad: Documento que
establece la estrategia de seguridad de una
institución de financiamiento colectivo, a corto,
mediano y largo plazo, para procurar una correcta
gestión de la seguridad de la información y evitar que
los Eventos de Seguridad de la Información se
materialicen en Incidentes de Seguridad de la
Información.
➔ SHCP: Secretaría de Hacienda y Crédito Público.
➔ UDI: Unidad de Inversión.
➔ “Wallets”: Instituciones de Fondos de Pago
Electrónicos.
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
3
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
02. ÁMBITO DE APLICACIÓN
En México, la Ley y las Disposiciones Fintech
únicamente regulan dos modelos de negocio de
ITF: las Instituciones de Financiamiento Colectivo
(mejor conocidas como empresas de
crowdfunding) y los fondos de pago electrónico
(conocidos como wallets). Asimismo, la
legislación regula las operaciones que las ITF o
los bancos realicen con activos virtuales (también
conocidos como “criptomonedas”).
03. INSTITUCIONES DE
FINANCIAMIENTO
COLECTIVO (EMPRESAS DE
CROWDFUNDING).
• Las IFC o empresas de Crowdfunding son
entidades que invitan al público en general a
colaborar con el financiamiento de proyectos, a
través de interfaces, páginas de internet o
cualquier otro medio de comunicación
electrónico digital.
• En México, quien desee obtener capital por
este tipo de operaciones, únicamente podrá
hacerlo a través de una sola IFC, por un valor
de 50 mil y 1,670 mil UDIs (lo cual podrá
incrementar hasta 6,7000 UDIs con
autorización de la CNBV para préstamos
4
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
empresariales entre personas, desarrollo
inmobiliario, capital o copropiedad y regalías).
• La comparación que se inserta más adelante
detalla los requisitos con los que deberán
cumplir las ITF con modelos de IFC a fin de
protegerse contra riesgos. Es importante
mencionar que la CNBV prohíbe que en este
tipo de proyectos se garantice un retorno de
inversión.
04. INSTITUCIONES DE FONDOS
DE PAGO ELECTRÓNICOS
(WALLETS)
En este tipo de Instituciones se establece que los
pagos deberán gozar de liquidez inmediata y sin
generación de intereses para los clientes. Para tal
efecto, cada cliente deberá contar con una cuenta
personal y la IFP debe mantener un registro de las
operaciones realizadas. La recepción de recursos
en efectivo debe ser máximo de 10,000 UDIs
mensuales y la entrega de 1,600 UDIs diarios por
cliente, sin opción a servicios de crédito.
05. ACTIVOS VIRTUALES
(CRIPTOMONEDAS)
Los Activos Virtuales han representado un reto en
México y en el mundo debido a su volatibilidad e
inestabilidad. Las DAV establecen que los Activos
Virtuales no son moneda de curso legal y que las
operaciones realizadas con estos son
irreversibles. No obstante, el Banco de México
debe aprobar qué activos virtuales pueden
utilizarse en el territorio nacional.
5
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
OBLIGACIONES INSTITUCIONES DE TECNOLOGÍA
FINANCIERA (ITF)(TODAS)
SOLO INSTITUCIONES DE FINANCIAMIENTO COLECTIVO (IFC)
SOLO INSTITUCIONES DE FONDOS DE PAGO
ELECTRÓNICO (IFP) OBSERVACIONES
06. DE LA SOLICITUD COMO INSTITUCIÓN DE TECNOLÓGICA FINANCIERA
1. PRESENTACIÓN DE
SOLICITUD PARA OPERAR COMO ITF
01. Todas las IFC e IFP que deseen convertirse en ITF deberán solicitar una autorización a la CNBV, quién podrá autorizar únicamente tras la emisión de un acuerdo por parte del Comité Interinstitucional.
02. Deberán ser sociedades anónimas constituidas o que pretendan constituirse como tales.1
03. Sus estatutos deberán señalar como objeto social alguna de las actividades previstas en la Ley Fintech (Operaciones de Financiamiento Colectivo de Deuda, de Capital o de Copropiedad, en caso de IFC) o la emisión, administración, redención y transmisión de fondos de pago electrónico, en caso de IFP), expresar que se sujetarán a las disposiciones de esta, establecer su domicilio en territorio nacional y fijar el capital mínimo correspondiente según sus actividades*.
04. La SHCP y la CNBV han publicado una guía para la solicitud de autorización para la organización y operación de instituciones de fondos de pago electrónico2.
La Ley Fintech define como ITF a las Instituciones de Tecnología Financiera reguladas en dicha ley limitándose a dos tipos: las Instituciones de Financiamiento Colectivo y a las Instituciones de Fondos de Pago Electrónico que hayan sido autorizadas como ITF por la CNBV3. *El capital mínimo de las ITF podrá ser de: - 500,000 UDI’s: Las autorizadas para realizar solo un tipo de operación en moneda nacional. - 700,000 UDI´s: Las autorizadas para realizar dos o más tipos de operaciones en moneda nacional; las que realicen operaciones con activos virtuales o moneda extranjera; las que actúen como cámara de compensación en las redes de medios de disposición.
6
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
1 Artículo 36 de la Ley Fintech. 2 Disponible en: https://www.gob.mx/cms/uploads/attachment/file/417631/Guia_Autorizacion_IFPE_.pdf 06/06/2019. 3 Artículo 4, fracción XVI, Ley Fintech. 4 Artículo 39, Ley Fintech/Artículo 3 DCGAITF. 5 Artículo 18, fracción VIII, Ley Fintech. 6 Economipedia. Esquema de Incentivos. https://economipedia.com/definiciones/esquema-de-incentivos.html 18/06/19.
2.
PRESENTACIÓN DE DOCUMENTOS QUE
DEBEN ACOMPAÑARSE A
LA SOLICITUD COMO ITF4
Todas las IFC e IFP que pretendan convertirse en ITF deberán acompañar a su solicitud los siguientes documentos: a) Documento que acredite poder de los
representantes. b) Proyecto de estatutos sociales. c) Plan de negocios. d) Políticas de separación de cuentas. e) Políticas de divulgación de riesgos y
responsabilidades por la realización de operaciones.
f) Medidas y políticas en materia de control de riesgos operativos y seguridad de la información.
g) Procesos operativos y de control de identificación de clientes.
h) Políticas de solución de conflictos de interés.
i) Políticas de prevención de fraudes y operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
j) La relación de los convenios o contratos con otras ITF o proveedores de servicios tecnológicos necesarios para la realización de su operación.
1. La solicitud deberá acompañar, adicionalmente:
a) La información referente al esquema a adoptar para la alineación de incentivos. *
b) Esquemas para compartir con los inversionistas los riesgos de las operaciones de financiamiento colectivo de deuda.5
Si bien la Ley no establece una definición esquemas de incentivos: este concepto representa “una herramienta de motivación que busca alinear los intereses de los trabajadores con los de la empresa. El esquema de incentivos debe permitir que la empresa alcance de mejor manera sus objetivos a través de lograr que los trabajadores superen las expectativas de su puesto y propicien el crecimiento de la empresa.”6
7
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
7 Los Anexos 1 y 2 de las DCGAITF se pueden consultar en: https://www.dof.gob.mx/nota_detalle.php?codigo=5537450&fecha=10/09/2018 06/06/2019.
k) Relación e Información de las personas que mantengan o pretendan mantener participación en el capital social.
l) Relación e información de administrador o consejeros.
m) Documento que acredite titularidad de la plataforma.
n) Designación de domicilio para oír y recibir notificaciones en territorio nacional.
Los prestadores de servicios tecnológicos en materia de control de riesgos y seguridad de la información deben tomar en cuenta los requisitos señalados con los numerales: e), f), g) y j).
3.
PRESENTACIÓN DE DOCUMENTOS
ADICIONALES QUE DEBERÁN
ACOMPAÑAR A LA SOLICITUD.
1. Las personas que desempeñan los cargos de Administrador Único o miembros del Consejo de Administración deben presentar la información señalada en Anexos 1 y 2 de las DISPOSICIONES FINTECH7, dentro de los cuales se incluye un “Formato de Información Curricular para Personas Propuestas para Ocupar los Cargos de Administrador Único o, en su caso, Consejero y Director General de una ITF”, así como los
1. El plan de negocios que deberá señalar los tipos de operaciones de financiamiento Colectivo que se pretende realizar; i) Financiamiento Colectivo de Deuda ii) Financiamiento
Colectivo de Capital
iii) Financiamiento Colectivo de
1. El plan de negocios deberá señalar las operaciones a realizar; i) Abrir y llevar una o más
cuentas de fondos de pago por cada cliente.
ii) Realizar transferencias de fondos de pago electrónico entre sus clientes.
iii) Realizar transferencias de determinadas cantidades entre sus
Los presentes requisitos fueron adicionados a los que establece la Ley Fintech por medio de las Disposiciones Fintech.
8
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
8 Realizar conforme Anexos 6 y 7 de las DCGAITF, disponibles en: : https://www.dof.gob.mx/nota_detalle.php?codigo=5537450&fecha=10/09/2018
“Formatos de Carta Protesta para Personas Propuestas para Ocupar los Cargos de Administrador Único o, en su caso, Consejero y Director General de una ITF”.
2. El plan de negocios debe establecer las comisiones y cargos a cobrar y las características de infraestructura tecnológica.
3. Se debe presentar un estudio de viabilidad financiera de los primeros 3 años, incluyendo una descripción general del modelo financiero utilizado con los principales supuestos que se usaron y los ingresos esperados, así como los estados financieros proyectados de los primeros 3 años demostrando recursos suficientes para operar.8
4. Denominación y nombre comercial o marca.
5. Manuales de operación, de control interno y administración de riesgos, así como bases de organización y control interno, estructura de sus órganos y organización interna.
6. Copia de certificación vigente de oficial de cumplimiento.
7. Copia de solicitud de autorización para enviar o recibir transferencias de recursos en moneda nacional o extranjera, hacia o desde cuentas
Copropiedad y Regalías.
Asimismo, deberán señalar si realizarán alguna de las actividades adicionales permitidas:
i) Recibir y publicar solicitudes de financiamiento colectivo y sus proyectos.
ii) Facilitar características de las solicitudes a potenciales inversionistas.
iii) Habilitar canales de comunicación a través de su plataforma.
iv) Obtener préstamos y créditos para el cumplimiento de su objeto social.
v) Emitir valores por cuenta propia.
vi) Adquirir o arrendar bienes muebles e inmuebles para cumplir con objeto social.
vii) Construir depósitos de entidades financieras autorizadas.
viii) Construir fideicomisos para cumplir con su objeto social.
clientes y los de otra IFP.
Además, deberán señalar si realizarán alguna actividad adicional permitida:
i) Emitir, comercializar o administrar instrumentos para disposición de fondos de pago electrónico.
ii) Prestar servicio de transmisión de dinero.
iii) Prestar servicios relacionados a redes de medios de disposición.
iv) Procesar información relacionada a servicios de pago.
v) Otorgar préstamos o créditos. vi) Realizar operaciones con
activos virtuales. vii) Obtener préstamos y
créditos para cumplir con su objeto social.
viii) Emitir valores por cuenta propia.
ix) Constituir depósitos a la vista o a plazo en entidades financieras.
x) Adquirir o arrendar bienes muebles o inmuebles para realización de su objeto.
xi) Poner en contacto a terceros para facilitar
9
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
9 Artículos 22 y 25, Ley Fintech. 10 Artículo 40 de la Ley Fintech.
de depósito abiertas en entidades financieras u otras entidades en el extranjero.
ix) Realizar inversiones permanentes en otras sociedades cuando les presenten servicios.
x) Realizar cobranza judicial y extrajudicial de créditos.
xi) Realizar lo necesario para consecución de su objeto social.
operaciones con activos virtuales.
xii) Realizar operaciones con activos virtuales a cuenta propia o de sus clientes.
xiii) Realizar lo necesario para cumplir con objeto social.9 Finalmente, deberán incluir los gastos de enlace con los sistemas de pago, incluyendo las características técnicas y de seguridad de dichos enlaces. Deberán anexar solicitud de autorización para recibir o entregar recursos en efectivo o en moneda nacional, indicando medios y mecanismos por los que se realizará.
4.
ACREDITAR CUMPLIMIENTO 30
DÍAS ANTES DE OPERAR.
1. Las ITF que hayan sido autorizadas deberán acreditar, al menos 30 días antes de comenzar a realizar operaciones, lo siguiente:10
a) Que la sociedad se encuentra debidamente constituida y registrada en el Registro Público del Comercio.
b) Que cuenta con el capital mínimo que le corresponde.
c) Que los consejeros y directivos cumplen con los requisitos legales
La CNBV puede realizar visitas de inspección para verificar el cumplimiento de dichos requisitos.
10
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
11 Artículo 60, Ley Fintech. 12 Artículo 19, DAV.
(Los consejeros no pueden ser; funcionarios y empleados de la ITF, conyugues o concubinas de empleados, personas con parentesco con dos o más consejeros, personas con litigios pendientes con la ITF, personas sentenciadas por delitos patrimoniales o inhabilitadas para ejercer, concursados no rehabilitados, quienes realicen funciones de regulación y supervisión de la ITF y quienes participen en Consejo de Administración de otra ITF11).
d) Que cuenta con la infraestructura tecnológica, controles internos, políticas, procedimientos, manuales y demás documentos necesarios.
07. DE LAS OPERACIONES REALIZADAS CON ACTIVOS VIRTUALES
5.
PRESENTACIÓN DE LA SOLICITUD DE AUTORIZACIÓN PARA REALIZAR
OPERACIONES CON ACTIVOS
VIRTUALES
1. Las ITF que deseen operar con activos virtuales deberán presentar una solicitud de autorización ante el Banco de México.
2. Los interesados deberán contar con un certificado digital vigente a su nombre y suscribir las solicitudes de manera digital utilizando la herramienta del Banco de México.12
En caso de que las Instituciones no puedan presentar la solicitud de manera digital, podrán hacerlo físicamente en la Gerencia de Autorizaciones y Consultas de la Banca Central.
11
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
13 Artículo 34, Ley Fintech.
6.
PRESENTACIÓN DE DOCUMENTOS QUE
DEBEN ACOMPAÑAR A LA SOLICITUD PARA
REALIZAR OPERACIONES CON
ACTIVOS VIRTUALES.
1. Las ITF deberán acompañar su solicitud para operar con activos virtuales con:
a) Descripción del modelo de operación con activos virtuales, medidas para impedir transmisión de riesgo a clientes y de supervisión de cumplimiento.
b) Cuadro comparativo entre requisitos legales y medidas de la Institución.
c) Beneficios de operar con activos virtuales.
d) Manuales de operativos relacionados con operación de activos virtuales.
e) Marco integral de riesgos que se obligue a seguir que identifique riesgos de operar con activos virtuales.
Las fracciones IV y V del artículo 6 de las DAV señalan los requisitos con los que deberán cumplir los manuales operativos y el marco integral de riesgos.
7.
DIVULGACIÓN DE RIESGOS EN
OPERACIONES CON ACTIVOS
VIRTUALES.
1. Las Instituciones que operen con activos virtuales deberán hacer público en su plataforma una divulgación de riesgos que incluya:13 a) Que el activo virtual no es
moneda de curso legal ni respaldada por el Gobierno.
b) Imposibilidad de revertir operaciones una vez ejecutadas.
c) La volatilidad del valor del activo virtual.
Los requisitos establecidos representan un estándar mínimo y deben ser planteados de manera clara y sencilla.
12
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
14 Artículo 63, DCGAITF.
d) Riesgos tecnológicos, cibernéticos y de fraude.
08. DE LA SEGURIDAD DE LA INFORMACIÓN
8.
IMPLEMENTACIÓN DE CONTROLES
INTERNOS DE SEGURIDAD DE LA
INFORMACIÓN.
1. Las IFC, a través del Director General o, en su caso, del Administrador Único deberán asegurar que la Infraestructura Tecnológica se apegue a lo siguiente:14
a) Que los componentes cumplan con sus funciones.
b) Que todo lo relacionado a su operación esté documentado.
c) Que se consideren aspectos de seguridad de la información en sus procesos, adquisiciones y desarrollos.
d) Que los componentes sean probados antes de usados.
e) Que cuente con licencias y autorizaciones.
f) Que cuente con medidas de seguridad para acceso y uso de información.
g) Que cuente con mecanismos de respaldo y recuperación de información.
h) Que mantenga registros íntegros de auditoria.
La fracción III del artículo 63 de las Disposiciones Fintech establece las especificaciones respecto a los aspectos de seguridad en componentes de comunicaciones y de cómputo. La fracción VI del mismo artículo señala los elementos con los que debe de contar las medidas de seguridad respecto a protección de información. El Director General o Administrador Único debe documentar dichos documentos en manuales.
13
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
15 Artículo 63, DCGAITF.
i) Que cuente con procesos de gestión ante eventos e incidentes de seguridad de la información.
j) Que sea sometida a ejercicios de planeación y revisión anuales.
k) Que cuente con controles automatizados o compensatorios.
l) Que cuente con controles de alteración y falsificación de documentos.
m) Que cuente con procesos para medir y asegurar niveles de disponibilidad y tiempos de respuesta.
n) Que cuente con dispositivos o mecanismos automatizados para detectar y prevenir eventos e incidentes de seguridad de la información
o) Que, para la prestación de servicios de tecnología, se proteja la integridad de la Infraestructura tecnológica y del manejo de información.15
9.
OBLIGACIONES EN RELACIÓN CON LA
INFRAESTRUCTURA TECNOLÓGICA.
1. El Director General o Administrador Único de las IFC debe:
a) Aprobar el Plan de Seguridad y sus actualizaciones.
El artículo 64 de las Disposiciones Fintech establece las especificaciones técnicas con las que debe de contar el Plan de Seguridad, revisiones de
14
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
b) Realizar revisiones de seguridad en controles de Infraestructura Tecnológica.
c) Elaborar un calendario anual para realización de pruebas de escaneo de vulnerabilidades de componentes de Infraestructura Tecnológica que manejen información.
d) Contratar a tercero certificado para pruebas de penetración de sistemas.
e) Clasificar vulnerabilidades detectadas.
f) Elaborar planes de remediación.
g) Implementar procesos de seguimiento de cumplimiento a planes de remediación.
h) Implementar programas anuales de capacitación a personal.
i) Realizar búsquedas de alertas de fraude y amenazas.
j) Implementar controles de confidencialidad, integridad y disponibilidad de información.
k) Establecer políticas y procedimientos para asegurar que CISO obtenga
seguridad, calendario de pruebas, pruebas de penetración, planes de remediación, búsquedas de fraude y amenazas.
15
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
16 Artículo 64 de las DCGAITF. 17 Artículo 65, DCGAITF.
información necesaria para cumplimiento de funciones16.
10.
NOMBRAMIENTO DE UN OFICIAL EN JEFE DE SEGURIDAD DE LA INFORMACIÓN (CISO, POR SUS
SIGLAS EN INGLÉS)
1. El Director General o Administrador Único debe designar un Oficial en Jefe de Seguridad de la Información (CISO).
2. El CISO no debe tener conflictos de interés.
3. No puede realizar funciones relacionadas a operación de seguridad de la información para la IFC.
4. Las funciones del CISO pueden ser realizadas por un tercero.
5. EL CISO se puede apoyar en representantes de unidades de negocio.
6. Es posible designar como CISO al Director General o al Administrador Único los primeros 12 meses.17
Por sus siglas en inglés, CISO se refiere a “Chief Information Security Officer”. Las funciones del CISO se encuentran enlistadas en el artículo 66 de las DISPOSICIONES FINTECH: 1. Participar en la definición,
implementación y cumplimiento de procedimientos de seguridad.
2. Elaborar Plan Director de Seguridad.
3. Verificar anualmente definición de perfiles de acceso a la Infraestructura Tecnológica.
4. Asegurar anualmente la correcta asignación de perfiles de acceso de usuarios.
5. Aprobar y verificar cumplimiento de medidas contra deficiencias detectadas.
6. Gestionar alertas de seguridad de la Información.
16
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
18 Artículo 13, Ley Fintech.
7. Coordinar y presidir al equipo para la detección y respuesta de Incidentes de Seguridad de la Información.
8. Informar a Órgano de Administración o Comité de Auditoria y comité de riesgos a estos o sesión inmediata siguiente respecto a las acciones frente a medidas para prevenir y evitar futuros incidentes.
9. Proponer y coordinar programas de capacitación.
10. Presentar anualmente informe de gestión en materia de seguridad de la información.
11. Considerar indicadores de riesgo: evaluación, definición de planes de remediación, mantenimiento continuo, tablas de medición y evaluación.18
12. Ser responsable de implementación de regulación en materia de seguridad de la información.
13. Responder a requerimientos de autoridades en materia de seguridad de la información.
17
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
19 Artículo 43, DCGAITF. 20 Anexo 8 Disponible en: https://www.cnbv.gob.mx/Anexos/Anexo%208%20Fintech.pdf 21 Artículo 54, Ley Fintech. 22 Artículo 85, DCGAITF
09. DE LA CONSTANCIA ELECTRÓNICA SOBRE RIESGOS
11.
OBTENCIÓN DE UNA CONSTANCIA ELECTRÓNICA SOBRE RIESGOS.
1. Las IFC deben obtener de los inversionistas una constancia electrónica en la que manifiesten los riesgos de su inversión.
2. La constancia se debe entregar solo una vez antes de celebrar el contrato que permita realizar operaciones.19
Lo referente al contenido de las constancias electrónicas sobre riesgos se encuentra incluido en el Anexo 8 de las DISPOSICIONES FINTECH.20
10. PRESTACIÓN DE SERVICIOS DE TERCEROS
12.
CUMPLIMIENTO CON DISPOSICIONES PARA CONTRATAR CON TERCEROS.
1. La ley Fintech establece la posibilidad para que las ITF pacten prestación de servicios de terceros necesarios para su operación.21
1. Las DISPOSICIONES FINTECH establecen que para la contratación de terceros únicamente se requiere la autorización de la CNBV cuando:22 a) Se maneje o se tenga
acceso a información sensible.
b) Se realicen procesos de contabilidad o tesorería en el extranjero o registro de
Si bien, por regla general, la Ley Fintech permite la contratación de servicios de terceros, las DISPOSICIONES FINTECH establecen las excepciones en las que se requiera una autorización para ello.
18
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
23 Artículo 86, DCGAITF
transacciones de clientes.
13.
PRESENTACIÓN DE DOCUMENTOS
ADICIONALES A LA SOLICITUD DE
PRESTACIÓN DE SERVICIOS DE
TERCEROS.
1. Las IFC deberán acompañar la solicitud para contratar servicios de terceros con:23
a) Descripción detallada y diagramas de flujo de los procesos de los servicios a contratar.
b) Proyecto de contrato de prestación de servicios.
c) Documentación relativa a Infraestructura tecnológica.
d) Mecanismos para mantener registros de operaciones en ITF.
e) Evidencia de los controles para garantizar confidencialidad, integridad y disponibilidad de información frente a tercero.
f) Tratándose de contratación de servicios de cómputo en la Nube, describir:
g) Tipo de Nube (Pública, Privada o Híbrida)
h) Regiones donde se almacenará y procesará información.
i) Esquemas de nubes públicas o de virtualización en infraestructura
La fracción II del artículo 86 de las DGAITF establece los requisitos que debe contener este tipo de contratos:
1. Fecha probable de celebración.
2. Derechos y Obligaciones de la IFC y de tercero.
3. Determinación de Propiedad Intelectual respecto de diseños, desarrollos o procesos utilizados.
4. Constancia de aceptación expresa de tercero con disposiciones legales.
La CNBV cuenta con 25 días para resolver respecto de la solicitud.
19
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
24 Artículo 11, DAV.
compartida con otros clientes, descripción de mecanismos de control para garantizar confidencialidad, integridad y disponibilidad de información sensible.
j) Descripción de mecanismos para vigilar desempeño de tercero.
k) Planes para evaluar y reportar a Órgano de Administración, el desempeño y cumplimiento de tercero.
l) Evidencia de políticas de protección de datos personales y confidencialidad de la información.
14.
PRESENTACIÓN DE SOLICITUD DE
PRESTACIÓN DE SERVICIOS
RELACIONADOS CON OPERACIONES
CON ACTIVOS VIRTUALES.
1. Las instituciones que deseen contratar a un tercero para servicios relacionados con la operación de activos virtuales deberán presentar una solicitud al Banco de México.
2. La solicitud deberá ir acompañada de los siguientes documentos:24 a) Instrumento jurídico con el
que se pretenda celebrar contrato con tercero.
La fracción I del artículo 11 de las DAV señalan los requisitos que deberá contener un contrato para este tipo de operaciones:
1. Señalar expresamente voluntad de tercero de sujetarse a disposiciones establecidas (Permitir visitas de Banco de México, Proporcionar información solicitada a Banco de México, Entregar a auditor
20
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
b) Aprobación de consejo de administración constando que no se pone en riesgo el cumplimiento con disposiciones legales y que las prácticas del tercero son consistentes con la operación de la institución.
c) Documentos que acrediten experiencia, capacidad y suficiencia del tercero.
d) Procedimiento del tercero para identificar, medir, vigilar, limitar, controlar, informar y revelar riesgos.
e) Mecanismos de solución de controversias entre institución y terceros.
f) Procedimiento de evaluación de desempeño de tercero.
g) Descripción de acciones para terminación ordenada de contrato.
externo todos los documentos relacionados a activos virtuales, guardar confidencialidad de información, contar con lineamientos de seguridad y planes de continuidad, establecer prohibición de subcontrataciones, establecer recisión en caso de incumplimiento de contrato en dichos términos).
21
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA
11. CONCLUSIONES
➔ Debido a la novedad de este tipo de
Instituciones, la legislación ha tenido que
avanzar de manera acelerada a fin de poder
cubrir los tipos de actividades de Tecnología
Financiera para poder proteger a los usuarios
e inversionistas que las utilicen.
➔ La Ley Fintech establece la obligación
conjunta a la CNBV y al Banco de México para
que se emitan Disposiciones Generales
relacionadas a la Seguridad de la Información
en Fondos de Pago Electrónico, las cuales
implicarán nuevas obligaciones para este tipo
de Instituciones.
➔ Actualmente la Ley Fintech y sus
Disposiciones únicamente regulan dos tipos
de actividades: las de Financiamiento
Colectivo y las de Fondos de Pago
Electrónico. Sin embargo, se estima que el
desarrollo de la tecnología y las necesidades
actuales de la sociedad resultarán en nuevos
modelos de Tecnología Financiera que
deberán de ser contemplados en el futuro.
➔ La Ley Fintech y sus Disposiciones marca una
pauta para la protección de los usuarios de
servicios de Tecnología Financiera en México,
lo que podría generar un aumento en la
inversión extranjera.
22
MANUAL | DE OBLIGACIONES NORMATIVAS PARA LAS INSTITUCIONES DE TECNOLOGÍA FINANCIERA