Respuesta Caja Alemana: Al hablar de Intermediarios Financieros No Bancarios, nos estamos refiriendo a SOCAP (Sociedades Cooperativas de Ahorro y Préstamo), SOFIPO (Sociedades Financieras Populares), SOFOM ENR (Sociedades Financieras de Objeto Múltiple No Reguladas), Uniones de Crédito, etc.
Así, a cada institución le aplican disposiciones generales específicas, principalmente porque hay una diferencia entre ellas respecto a las que realizan operaciones de captación y las que no. De cualquier forma, en ambos casos deben sujetarse a lo que les corresponda acorde a la Ley para Regular las Instituciones de Tecnología Financiera.
Además, deben considerar lo establecido por la Comisión Nacional Bancaria y de Valores (CNBV), referente a los lineamientos mínimos de operación y seguridad para la contratación de servicios de apoyo tecnológico (la siguiente procede de las Disposiciones de Carácter General Aplicables a las Sociedades Cooperativas de Ahorro y Préstamo. D.O.F., 15-XI-2018, CNBV, en: https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter…, consultado el 16-V-19., y de las Disposiciones de Carácter General Aplicables a las Instituciones de Tecnología Financiera. D.O.F., 10-IX-2018, CNBV, en: https://www.dof.gob.mx/nota_detalle.php?codigo=5537450&fecha=10/09/2018, consultado el 16-V-19):
I. Aspectos en materia de operación
a. Esquemas de redundancia o mecanismos alternos en las telecomunicaciones de punto a punto que permitan contar con enlaces de comunicación que minimicen el riesgo de interrupción en el servicio de telecomunicaciones.
b. Estrategia de continuidad en los servicios informáticos que proporcionen a la Entidad la capacidad de procesar y operar los sistemas en caso de contingencia, fallas o interrupciones en las telecomunicaciones o de los equipos de cómputo centrales y otros que estén involucrados en el servicio de procesamiento de información de operaciones o servicios.
c. Mecanismos para establecer y vigilar la calidad en los servicios de información, así como los tiempos de respuesta de los sistemas y aplicaciones.
d. Esquema de soporte técnico, a fin de solucionar problemas e incidencias, con independencia, en su caso, de las diferencias en husos horarios y días hábiles.
II. Aspectos en materia de seguridad
a. Medidas para asegurar la transmisión de la Información Sensible del Cliente en forma cifrada punto a punto y elementos o controles de seguridad en cada uno de los nodos involucrados en el envío y recepción de datos.
b. Establecimiento de funciones del oficial de seguridad. Para efectos de que la Entidad contratante se mantenga enterada del acceso y uso de la información, deberá designar a una persona que se desempeñe como oficial de seguridad en la Entidad, quien gozará de independencia respecto de las áreas operativas, de auditoría y de sistemas, y cuya función consistirá, entre otras cosas, en administrar y autorizar los accesos. Dichos accesos deberán corresponder a la necesidad de conocer la información de acuerdo a las funciones documentadas del puesto y en el momento en que se solicite o así lo requiera. Asimismo, el oficial de seguridad deberá contar en todo momento con los registros de todo el personal que tenga acceso a la información relacionada con las operaciones de la Entidad, incluso de aquél ubicado fuera del territorio nacional, en cuyo caso el personal autorizado para acceder a dicha información deberá ser autorizado por el responsable de las funciones de contraloría interna.
III. Auditoría y Supervisión
a. Políticas y procedimientos relativos a la realización de auditorías internas o externas sobre la infraestructura, controles y operación del centro de cómputo del tercero, relacionado con el ambiente de producción para la Entidad, al menos una vez cada dos años con el fin de evaluar el cumplimiento de lo mencionado.
Tratándose de las operaciones de apertura de cuentas, que se realicen a través de comisionistas contratados por medio de Administradores de Comisionistas, la auditoría a que se refiere el párrafo anterior, deberá realizarse por la propia Entidad, al menos una vez al año.
Respuesta Caja Alemana: Al hablar de Intermediarios Financieros No Bancarios, nos estamos refiriendo a SOCAP (Sociedades Cooperativas de Ahorro y Préstamo), SOFIPO (Sociedades Financieras Populares), SOFOM ENR (Sociedades Financieras de Objeto Múltiple No Reguladas), Uniones de Crédito, etc.
Así, a cada institución le aplican disposiciones generales específicas, principalmente porque hay una diferencia entre ellas respecto a las que realizan operaciones de captación y las que no. De cualquier forma, en ambos casos deben sujetarse a lo que les corresponda acorde a la Ley para Regular las Instituciones de Tecnología Financiera.
Además, deben considerar lo establecido por la Comisión Nacional Bancaria y de Valores (CNBV), referente a los lineamientos mínimos de operación y seguridad para la contratación de servicios de apoyo tecnológico (la siguiente procede de las Disposiciones de Carácter General Aplicables a las Sociedades Cooperativas de Ahorro y Préstamo. D.O.F., 15-XI-2018, CNBV, en: https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter…, consultado el 16-V-19., y de las Disposiciones de Carácter General Aplicables a las Instituciones de Tecnología Financiera. D.O.F., 10-IX-2018, CNBV, en: https://www.dof.gob.mx/nota_detalle.php?codigo=5537450&fecha=10/09/2018, consultado el 16-V-19):
I. Aspectos en materia de operación
a. Esquemas de redundancia o mecanismos alternos en las telecomunicaciones de punto a punto que permitan contar con enlaces de comunicación que minimicen el riesgo de interrupción en el servicio de telecomunicaciones.
b. Estrategia de continuidad en los servicios informáticos que proporcionen a la Entidad la capacidad de procesar y operar los sistemas en caso de contingencia, fallas o interrupciones en las telecomunicaciones o de los equipos de cómputo centrales y otros que estén involucrados en el servicio de procesamiento de información de operaciones o servicios.
c. Mecanismos para establecer y vigilar la calidad en los servicios de información, así como los tiempos de respuesta de los sistemas y aplicaciones.
d. Esquema de soporte técnico, a fin de solucionar problemas e incidencias, con independencia, en su caso, de las diferencias en husos horarios y días hábiles.
II. Aspectos en materia de seguridad
a. Medidas para asegurar la transmisión de la Información Sensible del Cliente en forma cifrada punto a punto y elementos o controles de seguridad en cada uno de los nodos involucrados en el envío y recepción de datos.
b. Establecimiento de funciones del oficial de seguridad. Para efectos de que la Entidad contratante se mantenga enterada del acceso y uso de la información, deberá designar a una persona que se desempeñe como oficial de seguridad en la Entidad, quien gozará de independencia respecto de las áreas operativas, de auditoría y de sistemas, y cuya función consistirá, entre otras cosas, en administrar y autorizar los accesos. Dichos accesos deberán corresponder a la necesidad de conocer la información de acuerdo a las funciones documentadas del puesto y en el momento en que se solicite o así lo requiera. Asimismo, el oficial de seguridad deberá contar en todo momento con los registros de todo el personal que tenga acceso a la información relacionada con las operaciones de la Entidad, incluso de aquél ubicado fuera del territorio nacional, en cuyo caso el personal autorizado para acceder a dicha información deberá ser autorizado por el responsable de las funciones de contraloría interna.
III. Auditoría y Supervisión
a. Políticas y procedimientos relativos a la realización de auditorías internas o externas sobre la infraestructura, controles y operación del centro de cómputo del tercero, relacionado con el ambiente de producción para la Entidad, al menos una vez cada dos años con el fin de evaluar el cumplimiento de lo mencionado.
Tratándose de las operaciones de apertura de cuentas, que se realicen a través de comisionistas contratados por medio de Administradores de Comisionistas, la auditoría a que se refiere el párrafo anterior, deberá realizarse por la propia Entidad, al menos una vez al año.