GUÍA DIRIGIDA A LAS SOCIEDADES FINANCIERAS DE OBJETO MÚLTIPLE NO REGULADAS, ASESORES EN INVERSIONES by GMC360

GUÍA DIRIGIDA A LAS SOCIEDADES FINANCIERAS DE OBJETO MÚLTIPLE NO REGULADAS, ASESORES EN INVERSIONES Y TRANSMISORES DE DINERO QUE PRETENDAN PRESENTAR SOLICITUD DE AUTORIZACIÓN PARA LLEVAR A CABO LA CELEBRACIÓN DE CONTRATOS Y OPERACIONES MEDIANTE DISPOSITIVOS DE FORMA NO PRESENCIAL.

v 1.0 julio 2020

Introducción

En apego a la Recomendación 15 del Grupo de Acción Financiera Internacional y ante el gran auge de la era digital, se tuvo la necesidad de incluir y regular en diversas disposiciones el uso de las nuevas tecnologías y los medios electrónicos en la prestación de los servicios y operaciones de las sociedades, para lo cual se incluyeron obligaciones en materia de prevención y detección de actos, omisiones u operaciones que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de los delitos previstos en los artículos 139 Quáter del Código Penal Federal o que pudieran ubicarse en los supuestos del artículo 400 Bis del mismo Código. En ese contexto, con las reformas a las Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, aplicables a los transmisores de dinero a que se refiere el artículo 81-A Bis del mismo ordenamiento, Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple y Disposiciones de carácter general a que se refiere el artículo 226 Bis de la Ley del Mercado de Valores, aplicables a los asesores en inversiones publicadas el 20, 21 y 22 de marzo de 2019 respectivamente, se incorporó la posibilidad de que los Asesores en Inversiones y Sociedades Financieras de Objeto Múltiple No reguladas celebren contratos y en el caso de Transmisores de Dinero operaciones de forma no presencial con clientes o potenciales clientes y/o usuarios personas físicas de nacionalidad mexicana; con base en lo antes expuesto es que se emite el presente documento. 1.1 Glosario En adición a las definiciones contenidas en las Disposiciones que resulten aplicables, para efectos de la presente guía se entenderá, en singular o plural, por: Disposiciones, “DISPOSICIONES de carácter general a que se refiere el artículo 226 Bis de la Ley del Mercado de Valores, aplicables a los asesores en inversiones” publicadas en el DOF el 31 de diciembre de 2014 y sus diversas modificaciones; “Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple” publicadas en el DOF el 17 de marzo de 2011 y sus diversas modificaciones y “Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, aplicables a los transmisores de dinero a que se refiere el artículo 81-A Bis del mismo ordenamiento” publicadas en el DOF el 10 de abril de 2012 y sus diversas modificaciones; DOF, Diario Oficial de la Federación; Escrito, al ocurso por medio del cual el Sujeto Obligado solicita la aprobación de esta Comisión sobre el proceso de identificación de Clientes, potenciales Clientes o Usuarios mediante dispositivos de forma no presencial a que se refiere el Anexo 2 en relación con la 4ª Ter o 4ª Bis de las Disposiciones según el sector al que pertenezcan; Sujetos Obligados, Asesores en Inversiones, Sociedades Financieras de Objeto Múltiple No Reguladas y Transmisores de Dinero. 1.2 Marco Jurídico 4ª, 4ª Bis y Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 226 Bis de la Ley del Mercado de Valores, aplicables a los asesores en inversiones. 4ª, 4ª Ter y Anexo 2 Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple.

4ª, 4ª Bis y Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, aplicables a los transmisores de dinero a que se refiere el artículo 81-A Bis del mismo ordenamiento. 1.3 Objetivo El presente documento constituye una herramienta de apoyo a los Sujetos Obligados interesados en obtener la aprobación de la Comisión para llevar a cabo la celebración de contratos u Operaciones a través de dispositivos de manera no presencial, a la que se refiere la fracción I, artículo 1 del Anexo 2 de las Disposiciones aplicables a cada sector. En adición a lo anterior, se busca proporcionar una guía a los Sujetos Obligados para efecto de cubrir con los requisitos mínimos al momento de presentar su Escrito de solicitud del mecanismo descrito en el primer párrafo. La presente guía ha sido elaborada con fines prácticos, utilizando como metodología la exposición ordenada del conjunto de requisitos que establece la regulación vigente –Anexo 2 de las Disposiciones- para obtener la aprobación referida, con explicaciones y orientaciones que coadyuven al cumplimiento de cada requisito en particular. Asimismo, a la presente se incorpora información complementaria que se recomienda adjuntar al Escrito para solventar su criterio y procedimiento; mismos que serán materia de estudio y análisis, en la inteligencia de que los requerimientos de información complementaria sólo tienen carácter enunciativo más no limitativo. 2.

De la Solicitud de Aprobación

Se recomienda que en el Escrito se desarrolle y establezca el criterio y procedimiento, entiéndase el primero como las pautas establecidas por el Sujeto Obligado para cumplir con lo establecido en el Anexo 2 de las Disposiciones; y el segundo como el método, medidas o proceso para llevar a cabo la identificación no presencial en apego a la fundamentación en este párrafo invocada. Los Sujetos Obligados deberán tomar en cuenta, para identificar si son susceptibles de realizar las Operaciones o contratos mediante identificación no presencial según corresponda a lo siguiente: Asesores en Inversiones

Artículo 1.- Los Asesores en Inversiones, para efectos de la identificación de sus Clientes o potenciales Clientes que sean personas físicas de nacionalidad mexicana, en la celebración no presencial de la contratación de los servicios a que hace referencia el artículo 225 de la Ley, podrán ajustarse a lo dispuesto por el presente artículo; en los demás supuestos de contratación, los Asesores en inversiones deberán observar lo contenido en el Artículo 3

Artículo 1 del Anexo 2 de las Disposiciones Sociedades Financieras de objeto Múltiple No Reguladas Transmisores de Dinero

Artículo 1.- Las Entidades, salvo las sociedades financieras de objeto múltiple reguladas que mantengan vínculos patrimoniales con una institución de crédito, para efectos de la identificación de sus Clientes o potenciales Clientes que sean personas físicas de nacionalidad mexicana, en la celebración no presencial de contratos de créditos que se otorguen a personas físicas o personas físicas con actividad empresarial y que no cuenten con garantía de inmuebles, por montos menores al equivalente en moneda nacional a 60,000 Unidades de Inversión, podrán ajustarse a lo dispuesto por el presente artículo; en los demás supuestos de contratación, las referidas Entidades deberán observar lo contenido en el Artículo 3 siguiente:

Artículo 1.- Los Transmisores de Dinero, para efectos de la identificación no presencial de sus Usuarios o potenciales Usuarios que sean personas físicas de nacionalidad mexicana, en la celebración no presencial de Operaciones de hasta cinco mil dólares de los Estados Unidos de América, podrán ajustarse a lo dispuesto por el presente artículo; en los demás supuestos de Operaciones, los Transmisores de Dinero deberán observar lo contenido en el Artículo 3 siguiente:

Asimismo, es importante señalar que el proceso de identificación no presencial al que hace referencia el Anexo 2 de las Disposiciones, deberá establecerse mediante comunicación a través de un medio audiovisual, entiéndase por este la utilización de algún mecanismo que emplee de manera conjunta el oído y la vista; y a su vez pueda ser visualizado en tiempo real. Para optimizar el proceso de revisión del Escrito presentado; para llevar a cabo la celebración de Operaciones o contratos de manera no presencial, los Sujetos Obligados deberán acompañar la documentación siguiente: 2.1 Escrito de solicitud de aprobación. Deberá presentar su Escrito libre, redactado en idioma español, en original y dos copias del mismo, en la oficialía de partes de esta Comisión, ubicada en Insurgentes Sur No. 1971, Col. Guadalupe Inn, C.P. 01020, Alcaldía Álvaro Obregón, Ciudad de México. El Escrito en comento deberá contener y considerar al menos los puntos siguientes: a)

Estar dirigido a la Dirección General de Autorizaciones Especializadas de la Vicepresidencia de Normatividad;

b) Contener la denominación o razón social, y número de CASFIM o en su caso número de registro del Sujeto Obligado; c)

Designación de un domicilio en territorio nacional para oír y recibir notificaciones y de, al menos, uno de sus representantes;

d) Descripción general del proceso de identificación no presencial; e)

Puntos petitorios, incorporando en ellos de manera expresa la solicitud para poder llevar a cabo la celebración de contratos u Operaciones de manera no presencial debidamente fundamentada y motivada;

Estar firmado por el Representante Legal y/o Director General, adjuntando copia simple del instrumento público con el que ostente su personalidad.

2.2 Descripción del Proceso de identificación no presencial de la entidad. El Sujeto Obligado deberá desarrollar de manera detallada su proceso de identificación no presencial, en el cual deberá quedar plasmado que cuenta con los criterios, procedimientos, controles, medidas, mecanismos e infraestructura tecnológica, requeridos en el Anexo 2 de las Disposiciones. Para efectos de cubrir los parámetros referidos dentro del Anexo 2 de las Disposiciones, esta Comisión sugiere presentar el Escrito que nos atañe, adjuntando los documentos como anexos, evidencia contundente que permita en el momento del análisis, no dejar margen a la duda; por lo que se indica a los Sujetos Obligados a modo de ejemplo; describir el contenido de las guías de diálogo que van a reflejar el texto desarrollado por ellos para respaldar la interacción que tendrán los operadores remotos y los potenciales Clientes, Clientes y Usuarios, así como cumplir con las precisiones acotadas en las Disposiciones. Con respecto a los documentos que deben obrar con la firma del responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único del Sujeto Obligado, podrán para efecto de dar cumplimiento a esto último, exhibir documento donde alguno de los funcionarios antes citados haya otorgado la designación correspondiente como responsable de riesgo.

Formato de Cumplimiento. CAPTURAS DE PANTALLA,

EVIDENCIA

CD´S

USB

Con el fin de que el Sujeto Obligado cumpla con lo previsto en el Anexo 2 de las Disposiciones, se recomienda que este adjunte el Formato de Cumplimiento asignado al sector al que pertenece, así como el Anexo B - Formato de Cumplimiento (Riesgo Tecnológico), y Anexo C. Formato de Cumplimiento (Seguridad de la Información).

Para el caso de los Asesores en Inversiones, a estos se les recomienda anexar el formato A toda vez que este se encuentra adaptado a las Disposiciones de Carácter General de dicho sector. Anexo A - Formato de Cumplimiento. # 1

Descripción de Cumplimiento El Asesor en Inversiones deberá presentar la solicitud de aprobación mediante escrito libre dirigido a la Comisión, la cual deberá resolver conforme a los plazos previstos en la ley financiera aplicable. Requerir a la persona física de que se trate el envío de un formulario a través del medio electrónico establecido por el propio Asesor en Inversiones, en el cual se deberán incluir, al menos, los datos a que se refiere la 4ª Bis de las Disposiciones El formulario mencionado deberá incluir una manifestación que señale que su envío al Asesor en Inversiones de que se trate, constituye el consentimiento de la persona para que su voz e imagen sean grabadas al establecerse una comunicación a través de un medio audiovisual y en tiempo real entre ellas. Conjuntamente con el formulario, Los Asesores en Inversiones deberán requerir al solicitante el envío de una fotografía a color de su credencial para votar vigente expedida por el Instituto Nacional Electoral, por el anverso y el reverso. Los Asesores en Inversiones deberán requerir que el solicitante se tome una fotografía a color de su rostro, utilizando dispositivos con cámaras de resolución de, al menos, 4 mega pixeles, imágenes a color de 24 bits, cuya toma únicamente se realice en línea a través de la propia herramienta tecnológica de los Asesores en Inversiones para ser enviada en ese mismo acto Adicionalmente, los Asesores en Inversiones deberán requerir que la persona física envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto por la 4ª Bis de las presentes Disposiciones. Una vez recibido el formulario debidamente llenado, deberán corroborar si el solicitante es Cliente del Asesor en Inversiones y, en este caso, verificar los datos del formulario con los registros del propio Asesor en Inversiones. En adición a lo anterior, los Asesores en Inversiones deberán confirmar la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población, así como que los datos de esta y los proporcionados en el formulario coinciden entre sí. Asimismo, deberán comparar las fotografías de la credencial para votar y del rostro, a fin de hacer el reconocimiento biométrico facial entre

Fundamento Artículo 1, fracción I Artículo 1, fracción II

Artículo 1, fracción II

Artículo 1, fracción II Artículo 1, fracción III

Artículo 1, fracción III Artículo 1, fracción III

Número de Página

11 12 13 14

16 17 18

19 20

23 24 25 26

Descripción de Cumplimiento estas, asegurándose de que ambas coinciden conforme al nivel de fiabilidad establecido en la fracción IV del Artículo 4 del Anexo 2 y, validar los elementos de seguridad de la credencial para votar recibida, a fin de detectar si dicho documento presenta alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello. Adicionalmente, los Asesores en Inversiones deberán verificar la coincidencia de los datos de la credencial para votar expedida por el Instituto Nacional Electoral que a continuación se listan, con los registros del propio Instituto: a) El Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar b) Año de registro. c) Clave de elector. d) Número y año de emisión. Los Asesores en Inversiones deberán verificar que los apellidos paternos, maternos y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población. Deberán informar al solicitante el procedimiento que se seguirá en el desarrollo de la comunicación en tiempo real, cuáles son los accesos a los medios para su realización. Entregar un código de un solo uso, el cual será requerido al solicitante al inicio de la comunicación. La comunicación deberá efectuarse conforme a las guías de diálogo que establezcan los Asesores en Inversiones, y será grabada y conservada sin ediciones en su total duración. Adicionalmente, los Asesores en Inversiones deberán observar lo siguiente: a) Registrar la hora y fecha de la realización de la comunicación. b) Verificar que la calidad de la imagen y del sonido permitan la plena identificación del solicitante, según los parámetros que establezcan los propios Asesores en Inversiones para tal efecto. c) Corroborar, durante la comunicación con el solicitante, la información que este haya enviado en el formulario y requerirle que muestre la demás documentación que se envió conjuntamente con este. En caso de que el solicitante ya sea Cliente del Asesor en Inversiones, deberá autenticarlo utilizando un factor de autenticación, entendiendo por este, la información obtenida mediante la aplicación de cuestionarios al Cliente, por parte de operadores remotos, en los cuales se requieran datos que el Cliente conozca En ningún caso los formularios podrán componerse únicamente de datos que hayan sido incluidos en comunicaciones impresas o electrónicas enviadas por los Asesores en Inversiones a sus Clientes. Los Asesores en Inversiones, en la utilización de los formularios para verificar la identidad de sus Clientes, deberán observar lo siguiente: 1. Definir previamente los cuestionarios que serán practicados por los operadores remotos, impidiendo que sean utilizados de forma discrecional. 2. Validar al menos una de las respuestas proporcionadas por sus Clientes, a través de herramientas informáticas, sin que el operador

Fundamento

Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción IV Artículo 1, fracción IV Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V

Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V

Número de Página

30 31 32 33

35 36 37

Descripción de Cumplimiento pueda consultar o conocer anticipadamente los datos de autenticación de los Clientes. d) Requerir al solicitante que muestre su credencial para votar expedida por el Instituto Nacional Electoral, tanto por el lado anverso como por el reverso, confirmando que esta contenga los mismos datos y fotografía de la credencial que envió junto con el formulario. e) Tomar imágenes del solicitante y de la credencial para votar presentada, por el anverso y reverso, en las cuales se estampará la fecha y la hora en la que fueron tomadas, obtenidas de un servidor de tiempo protegido. f) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del entrevistado, con el nivel de fiabilidad establecido en la fracción IV del Artículo 4 de este Anexo, asegurándose de que exista coincidencia entre su rostro, la fotografía de dicho entrevistado y la de la credencial para votar previamente recibida. Lo anterior, será una condicionante para proceder a la etapa de formalización del contrato. g) Identificar patrones de conducta sospechosos que pudieran indicar que la persona que se entrevista no es quien dice ser. Los Asesores en Inversiones deberán suspender el proceso de contratación con el solicitante cuando se presente cualquiera de los casos siguientes: a) La imagen o calidad de sonido no permita realizar una identificación plena del solicitante. b) El solicitante no presente su credencial para votar; los datos obtenidos de esta no coincidan con los registros del Instituto Nacional Electoral, o bien, el resultado de la validación de los elementos de la mencionada credencial para votar, o de las verificaciones biométricas del rostro del solicitante no alcancen la efectividad o nivel de fiabilidad a que hace referencia el Artículo 4, fracciones III y IV del presente Anexo. c) La Clave Única de Registro de Población no coincida con la información del Registro Nacional de Población. d) El código de un solo uso requerido al solicitante no sea confirmado por este. e) El personal del Asesor en Inversiones que tenga la comunicación en línea, identifique una situación atípica o riesgosa, o tenga dudas acerca de la autenticidad de la credencial para votar o de la identidad del solicitante. f) Se presenten interrupciones en la conexión. La tecnología utilizada para estos procedimientos deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o el administrador único de los Asesores en Inversiones, salvo en el caso de Asesores en Inversiones que sean personas físicas Los Asesores en Inversiones deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos a que se refiere el Artículo 1 del Anexo 2, que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación, así como su adecuada conservación y localización. Los Asesores en Inversiones podrán utilizar mejoras tecnológicas que ayuden a compensar la nitidez de las imágenes, aprobadas por su responsable de riesgos o su equivalente, en caso de no contar con este, por el comité de auditoría, el consejo de administración o

Fundamento

Artículo 1, fracción V Artículo 1, fracción V

Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción VI Artículo 1, fracción VI

Artículo 1, fracción VI

Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, penúltimo párrafo

Artículo 2

Número de Página

48 49 50

Descripción de Cumplimiento administrador único, para tales efectos, cuando se muestren los documentos de identificación y se realice el reconocimiento facial del solicitante, salvo en el caso de Asesores en Inversiones que sean personas físicas. La Comisión podrá aprobar mecanismos de identificación no presencial de los posibles Clientes distintos a los señalados en el Artículo 1 del presente Anexo, siempre que los Asesores en Inversiones acrediten que la tecnología utilizada, a juicio de la propia Comisión, resulte fiable para identificar a la persona física de que se trate y se verifique la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población o de algún otro elemento de identificación que sea verificable contra los registros de alguna autoridad mexicana, así como la correspondencia de los datos.. Los Asesores en Inversiones, al solicitar las aprobaciones a que se refieren los Artículos 1 y, en su caso, el Artículo 3, deberán presentar lo siguiente: I. La descripción detallada del proceso, el cual deberá ser aprobado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el administrador único, salvo en el caso de Asesores en Inversiones que sean personas físicas, así como la Infraestructura Tecnológica empleada en cada parte de este. II. Tratándose de mecanismos de identificación a los que se refiere el Artículo 3, el método de validación de los documentos de identificación que se admitirán para realizar la contratación de que se trate. III. Evidencia de que los medios de verificación de la validez de los documentos de identificación de los Clientes o posibles Clientes, tiene la efectividad aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de los Asesores en Inversiones, salvo en el caso de Asesores en Inversiones que sean personas físicas. IV. Evidencia de que los reconocimientos de identificación de rostro que se utilicen tengan el nivel de fiabilidad determinado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único del Asesor en Inversiones, salvo en el caso de Asesores en Inversiones que sean personas físicas V. Los estándares de calidad de la imagen y sonido que se requerirán para efectuar la comunicación en línea. VI. En su caso, la descripción de los factores de autenticación que se requerirán al Cliente. VII. Los mecanismos a través de los cuales se asegurarán de dar cumplimiento a lo previsto en el Artículo 2 del Anexo 2.

Fundamento

Número de Página

Artículo 3

Artículo 4

Artículo 4, fracción I Artículo 4, fracción II

Artículo 4, fracción III

Artículo 4, fracción IV

Artículo 4, fracción V Artículo 4, fracción VI Artículo 4, fracción VII

Para el caso de los Sociedades Financieras de objeto Múltiple No Reguladas, a estos se les recomienda anexar el formato A.1 toda vez que este se encuentra adaptado a las Disposiciones de Carácter General de dicho sector.

Anexo A.1 – Formato de Cumplimiento.

# 1

11 12 13 14

Descripción de Cumplimiento La Entidad deberá presentar la solicitud de aprobación mediante Escrito libre dirigido a la Comisión, la cual deberá resolver conforme a los plazos previstos en la ley financiera aplicable. Requerir a la persona física de que se trate el envío de un formulario a través del medio electrónico establecido por la propia Entidad, en el cual se deberán incluir, al menos, los datos a que se refiere la 4ª Ter de las presentes Disposiciones. El formulario mencionado deberá incluir una manifestación que señale que su envío a la Entidad de que se trate, constituye el consentimiento de la persona solicitante para que su voz e imagen sean grabadas al establecerse una comunicación a través de un medio audiovisual y en tiempo real entre ellas. Conjuntamente con el formulario, las Entidades deberán requerir al solicitante el envío de una fotografía a color de su credencial para votar vigente expedida por el Instituto Nacional Electoral, por el anverso y el reverso. Las Entidades deberán requerir que el solicitante tome una fotografía a color de su rostro, utilizando dispositivos con cámaras de resolución de, al menos, 4 mega pixeles, imágenes a color de 24 bits, cuya toma únicamente se realice en línea a través de la propia herramienta tecnológica de las Entidades para ser enviada en ese mismo acto. Adicionalmente, las Entidades deberán requerir que la persona física envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto por la 4ª Ter de las presentes Disposiciones. Una vez recibido el formulario debidamente requisitado, deberán corroborar si el solicitante es Cliente de la Entidad y, en este caso, verificar los datos del formulario con los registros de la propia Entidad. En adición a lo anterior, las Entidades deberán confirmar la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población, así como que los datos de esta y los proporcionados en el formulario coinciden entre sí. Asimismo, deberán comparar las fotografías de la credencial para votar y de la solicitada de conformidad con el numeral 5, a fin de llevar a cabo el reconocimiento biométrico facial entre estas, asegurándose de que ambas coinciden conforme al nivel de fiabilidad establecido en la fracción IV del Artículo 4 del Anexo 2 y, validar los elementos de seguridad de la credencial para votar recibida, a fin de detectar si dicho documento presenta alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello. Adicionalmente, las Entidades deberán verificar la coincidencia de los datos de la credencial para votar expedida por el Instituto Nacional Electoral que a continuación se listan, con los registros del propio Instituto: a) El Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar b) Año de registro. c) Clave de elector. d) Número y año de emisión.

Fundamento Artículo 1, fracción I Artículo 1, fracción II

Artículo 1, fracción II

Artículo 1, fracción II Artículo 1, fracción III Artículo 1, fracción III

Artículo 1, fracción III

Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III

Número de Página

# 15

16 17 18

19 20

23 24 25

30 31

Descripción de Cumplimiento Las Entidades deberán verificar que los apellidos paternos, maternos y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población. Deberán informar al solicitante el procedimiento que se seguirá en el desarrollo de la comunicación en tiempo real, cuáles son los accesos a los medios para su realización. Entregar un código de un solo uso, el cual será requerido al solicitante al inicio de la comunicación. La comunicación deberá efectuarse conforme a las guías de diálogo que establezcan las Entidades, y será grabada y conservada sin ediciones en su total duración. Adicionalmente, las Entidades deberán observar lo siguiente: a) Registrar la hora y fecha de la realización de la comunicación. b) Verificar que la calidad de la imagen y del sonido permitan la plena identificación del solicitante, según los parámetros que establezcan las propias Entidades para tal efecto. c) Corroborar, durante la comunicación con el solicitante, la información que este haya enviado en el formulario y requerirle que muestre la demás documentación que se envió conjuntamente con este. En caso de que el solicitante ya sea Cliente de la Entidad, deberá autenticarlo utilizando un factor de autenticación, entendiendo por este, la información obtenida mediante la aplicación de cuestionarios al Cliente, por parte de operadores remotos, en los cuales se requieran datos que el Cliente conozca. En ningún caso los formularios podrán componerse únicamente de datos que hayan sido incluidos en comunicaciones impresas o electrónicas enviadas por las Instituciones a sus Clientes. Las Entidades, en la utilización de los formularios para verificar la identidad de sus Clientes, deberán observar lo siguiente: 1. Definir previamente los cuestionarios que serán practicados por los operadores remotos, impidiendo que sean utilizados de forma discrecional. 2. Validar al menos una de las respuestas proporcionadas por sus Clientes, a través de herramientas informáticas, sin que el operador pueda consultar o conocer anticipadamente los datos de autenticación de los Clientes. d) Requerir al solicitante que muestre su credencial para votar expedida por el Instituto Nacional Electoral, tanto por el lado anverso como por el reverso, confirmando que esta contenga los mismos datos y fotografía de la credencial que envió junto con el formulario. e) Tomar imágenes del solicitante y de la credencial para votar presentada, por el anverso y reverso, en las cuales se estampará la fecha y la hora en la que fueron tomadas, obtenidas de un servidor de tiempo protegido. f) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del entrevistado, con el nivel de fiabilidad establecido en la fracción IV del Artículo 4 de este Anexo, asegurándose de que exista coincidencia entre su rostro, la fotografía de dicho entrevistado y la de la credencial para votar previamente recibida. Lo anterior, será una condicionante para proceder a la etapa de formalización del contrato de crédito. g) Identificar patrones de conducta sospechosos que pudieran indicar que la persona que se entrevista no es quien dice ser.

Fundamento Artículo 1, fracción III Artículo 1, fracción IV Artículo 1, fracción IV Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V

Artículo 1, fracción V

Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V

Artículo 1, fracción V

Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V

Número de Página

# 32 33

35 36 37

44 45

Descripción de Cumplimiento Las Entidades deberán suspender el proceso de contratación con el solicitante cuando se presente cualquiera de los casos siguientes: a) La imagen o calidad de sonido no permita realizar una identificación plena del solicitante. b) El solicitante no presente su credencial para votar; los datos obtenidos de esta no coincidan con los registros del Instituto Nacional Electoral, o bien, el resultado de la validación de los elementos de la mencionada credencial para votar, o de las verificaciones biométricas del rostro del solicitante no alcancen la efectividad o nivel de fiabilidad a que hace referencia el Artículo 4, fracciones III y IV del presente Anexo. c) La Clave Única de Registro de Población no coincida con la información del Registro Nacional de Población. d) El código de un solo uso requerido al solicitante no sea confirmado por este. e) El personal de la Entidad que tenga la comunicación en línea, identifique una situación atípica o riesgosa, o tenga dudas acerca de la autenticidad de la credencial para votar o de la identidad del solicitante. f) Se presenten interrupciones en la conexión. Para determinar el monto señalado en el primer párrafo del presente artículo se deberá utilizar el valor de la Unidad de Inversión a la fecha de celebración del contrato considerando para ello su equivalencia en moneda nacional publicada por el Banco de México en el Diario Oficial de la Federación. La tecnología utilizada para estos procedimientos deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de la Entidad. Las Entidades a que se refiere el artículo anterior deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos a que se refiere el Artículo 1 del presente Anexo, que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación, así como su adecuada conservación y localización. Las Entidades a que se refiere el artículo anterior podrán utilizar mejoras tecnológicas que ayuden a compensar la nitidez de las imágenes, aprobadas por su responsable de riesgos o su equivalente, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único, para tales efectos, cuando se muestren los documentos de identificación y se realice el reconocimiento facial del solicitante. La Comisión podrá aprobar mecanismos de identificación no presencial de los posibles clientes distintos a los señalados en el Artículo 1 del presente Anexo, siempre que las Entidades a que se refiere dicho artículo acrediten que la tecnología utilizada, a juicio de la propia Comisión, resulte fiable para identificar a la persona física de que se trate y se verifique la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población o de algún otro elemento de identificación que sea verificable contra los registros de alguna autoridad mexicana, así como la correspondencia de los datos. Las Entidades, al solicitar las aprobaciones a que se refiere el Artículo 1 y, en su caso, el Artículo 3, deberán presentar lo siguiente: I. La descripción detallada del proceso, el cual deberá ser aprobado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o

Fundamento Artículo 1, fracción VI Artículo 1, fracción VI

Artículo 1, fracción VI

Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, antepenúltim o párrafo Artículo 1, penúltimo párrafo

Artículo 2

Artículo 3

Artículo 4 Artículo 4, fracción I

Número de Página

49 50 51

Descripción de Cumplimiento administrador único, así como la Infraestructura Tecnológica empleada en cada parte de este. II. Tratándose de mecanismos de identificación a los que se refiere el Artículo 3, el método de validación de los documentos de identificación que se admitirán para realizar la contratación de que se trate. III. Evidencia de que los medios de verificación de la validez de los documentos de identificación de los Clientes o posibles Clientes, tiene la efectividad aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de las Entidades. IV. Evidencia de que los reconocimientos de identificación de rostro que se utilicen tengan el nivel de fiabilidad determinado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de la Entidad. V. Los estándares de calidad de la imagen y sonido que se requerirán para efectuar la comunicación en línea. VI. En su caso, la descripción de los factores de autenticación que se requerirán al Cliente. VII. Los mecanismos a través de los cuales se asegurarán de dar cumplimiento a lo previsto en el Artículo 2 de este Anexo.

Fundamento

Artículo 4, fracción II

Artículo 4, fracción III

Artículo 4, fracción IV Artículo 4, fracción V Artículo 4, fracción VI Artículo 4, fracción VII

Número de Página

Para el caso de los Transmisores de Dinero, a estos se les recomienda anexar el formato A.2 toda vez que este se encuentra adaptado a las Disposiciones de Carácter General de dicho sector. Anexo A.2 - Formato de Cumplimiento. # 1

11 12

Descripción de Cumplimiento El Transmisor de Dinero deberá presentar la solicitud de aprobación mediante escrito libre dirigido a la Comisión, la cual deberá resolver conforme a los plazos previstos en la ley financiera aplicable. Requerir a la persona física de que se trate el envío de un formulario a través del medio electrónico establecido por el propio Transmisor de Dinero, en el cual se deberán incluir, al menos, los datos a que se refiere la 4ª Bis de las presentes Disposiciones El formulario mencionado deberá incluir una manifestación que señale que su envío al Transmisor de Dinero de que se trate, constituye el consentimiento de la persona para que su voz e imagen sean grabadas al establecerse una comunicación a través de un medio audiovisual y en tiempo real entre ellas. Conjuntamente con el formulario, los Transmisores de Dinero deberán requerir al solicitante el envío de una fotografía a color de su credencial para votar vigente expedida por el Instituto Nacional Electoral, por el anverso y el reverso. Los Transmisores de Dinero deberán requerir que el solicitante se tome una fotografía a color de su rostro, utilizando dispositivos con cámaras de resolución de, al menos, 4 mega pixeles, imágenes a color de 24 bits, cuya toma únicamente se realice en línea a través de la propia herramienta tecnológica de los Transmisores de Dinero para ser enviada en ese mismo acto. Adicionalmente, los Transmisores de Dinero deberán requerir que la persona física envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto por la disposición 4ª Bis de las presentes Disposiciones. Una vez recibido el formulario debidamente llenado, deberán corroborar si el solicitante es Usuario del Transmisor de Dinero y, en este caso, verificar los datos del formulario con los registros del propio Transmisor de Dinero En adición a lo anterior, los Transmisores de Dinero deberán confirmar la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población, así como que los datos de esta y los proporcionados en el formulario coinciden entre sí. Asimismo, deberán comparar las fotografías de la credencial para votar y del rostro, a fin de hacer el reconocimiento biométrico facial entre estas, asegurándose de que ambas coinciden conforme al nivel de fiabilidad establecido en la fracción IV del Artículo 4 de este Anexo y, validar los elementos de seguridad de la credencial para votar recibida, a fin de detectar si dicho documento presenta alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello. Adicionalmente, los Transmisores de Dinero deberán verificar la coincidencia de los datos de la credencial para votar expedida por el Instituto Nacional Electoral que a continuación se listan, con los registros del propio Instituto: a) El Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar b) Año de registro.

Fundamento Artículo 1, fracción I Artículo 1, fracción II

Artículo 1, fracción II

Artículo 1, fracción II Artículo 1, fracción III

Artículo 1, fracción III

Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III

Número de Página

# 13 14 15

16 17

18 19 20

23 24 25

Descripción de Cumplimiento c) Clave de elector. d) Número y año de emisión. Los Transmisores de Dinero deberán verificar que los apellidos paternos, maternos y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población Deberán informar al solicitante el procedimiento que se seguirá en el desarrollo de la comunicación en tiempo real, cuáles son los accesos a los medios para su realización. Entregar un código de un solo uso, el cual será requerido al solicitante al inicio de la comunicación. La comunicación deberá efectuarse conforme a las guías de diálogo que establezcan los Transmisores de Dinero, y será grabada y conservada sin ediciones en su total duración. Adicionalmente, los Transmisores de Dinero deberán observar lo siguiente: a) Registrar la hora y fecha de la realización de la comunicación. b) Verificar que la calidad de la imagen y del sonido permitan la plena identificación del solicitante, según los parámetros que establezcan los propios Transmisores de Dinero para tal efecto. c) Corroborar, durante la comunicación con el solicitante, la información que este haya enviado en el formulario y requerirle que muestre la demás documentación que se envió conjuntamente con este. En caso de que el solicitante ya sea Usuario del Transmisor de Dinero, deberá autenticarlo utilizando un factor de autenticación, entendiendo por este, la información obtenida mediante la aplicación de cuestionarios al Usuario, por parte de operadores remotos, en los cuales se requieran datos que el Usuario conozca. En ningún caso los formularios podrán componerse únicamente de datos que hayan sido incluidos en comunicaciones impresas o electrónicas enviadas por los Transmisores de Dinero a sus Usuarios. Los Transmisores de Dinero, en la utilización de los formularios para verificar la identidad de sus Usuarios, deberán observar lo siguiente 1. Definir previamente los cuestionarios que serán practicados por los operadores remotos, impidiendo que sean utilizados de forma discrecional. 2. Validar al menos una de las respuestas proporcionadas por sus Usuarios, a través de herramientas informáticas, sin que el operador pueda consultar o conocer anticipadamente los datos de autenticación de los Usuarios. d) Requerir al solicitante que muestre su credencial para votar expedida por el Instituto Nacional Electoral, tanto por el lado anverso como por el reverso, confirmando que esta contenga los mismos datos y fotografía de la credencial que envió junto con el formulario. e) Tomar imágenes del solicitante y de la credencial para votar presentada, por el anverso y reverso, en las cuales se estampará la fecha y la hora en la que fueron tomadas, obtenidas de un servidor de tiempo protegido. f) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del entrevistado, con el nivel de fiabilidad establecido en la fracción IV del Artículo 4 de este Anexo, asegurándose de que exista coincidencia entre su rostro, la fotografía de dicho entrevistado y la de la credencial para votar previamente recibida.

Fundamento Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción III Artículo 1, fracción IV Artículo 1, fracción IV Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V

Artículo 1, fracción V

Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción V

Artículo 1, fracción V

Número de Página

# 30 31 32 33

35 36

37 38

Descripción de Cumplimiento Lo anterior, será una condicionante para proceder a la etapa de formalización de la Operación. g) Identificar patrones de conducta sospechosos que pudieran indicar que la persona que se entrevista no es quien dice ser. Los Transmisores de Dinero deberán suspender el proceso de contratación con el solicitante cuando se presente cualquiera de los casos siguientes: a) La imagen o calidad de sonido no permita realizar una identificación plena del solicitante. b) El solicitante no presente su credencial para votar; los datos obtenidos de esta no coincidan con los registros del Instituto Nacional Electoral, o bien, el resultado de la validación de los elementos de la mencionada credencial para votar, o de las verificaciones biométricas del rostro del solicitante no alcancen la efectividad o nivel de fiabilidad a que hace referencia el Artículo 4, fracciones III y IV del presente Anexo. c) La Clave Única de Registro de Población no coincida con la información del Registro Nacional de Población. d) El código de un solo uso requerido al solicitante no sea confirmado por este. e) El personal de la Entidad que tenga la comunicación en línea, identifique una situación atípica o riesgosa, o tenga dudas acerca de la autenticidad de la credencial para votar o de la identidad del solicitante. f) Se presenten interrupciones en la conexión. Para determinar el importe en dólares de los Estados Unidos de América de las Operaciones señaladas en el primer párrafo del presente artículo, se deberá utilizar el tipo de cambio para solventar obligaciones denominadas en moneda extranjera pagaderas en la República Mexicana, que publique el Banco de México en el Diario Oficial de la Federación, el día hábil bancario inmediato anterior a la fecha en que se realice la Operación. La tecnología utilizada para estos procedimientos deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único del Transmisor de Dinero. Los Transmisores de Dinero deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos a que se refiere el Artículo 1 del presente Anexo, que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación, así como su adecuada conservación y localización Los Transmisores de Dinero podrán utilizar mejoras tecnológicas que ayuden a compensar la nitidez de las imágenes, aprobadas por su responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único, para tales efectos, cuando se muestren los documentos de identificación y se realice el reconocimiento facial del solicitante La Comisión podrá aprobar mecanismos de identificación no presencial de los posibles Usuarios distintos a los señalados en el Artículo 1 del presente Anexo, siempre que los Transmisores de Dinero acrediten que la tecnología utilizada, a juicio de la propia Comisión, resulte fiable para identificar a la persona física de que se trate y se verifique la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población o de algún otro elemento de

Fundamento Artículo 1, fracción V Artículo 1, fracción V Artículo 1, fracción VI Artículo 1, fracción VI

Artículo 1, fracción VI

Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, fracción VI Artículo 1, penúltimo párrafo

Artículo 1, último párrafo

Artículo 2

Artículo 3

Número de Página

50 51 52

Descripción de Cumplimiento identificación que sea verificable contra los registros de alguna autoridad mexicana, así como la correspondencia de los datos. Los Transmisores de Dinero, al solicitar las aprobaciones a que se refiere el Artículo 1 y, en su caso, el Artículo 3, deberán presentar lo siguiente: I. La descripción detallada del proceso, el cual deberá ser aprobado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único, así como la Infraestructura Tecnológica empleada en cada parte de este. II. Tratándose de mecanismos de identificación a los que se refiere el Artículo 3, el método de validación de los documentos de identificación que se admitirán para realizar la contratación de que se trate. III. Evidencia de que los medios de verificación de la validez de los documentos de identificación de los Usuarios o posibles Usuarios, tiene la efectividad aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de los Transmisores de Dinero. IV. Evidencia de que los reconocimientos de identificación de rostro que se utilicen tengan el nivel de fiabilidad determinado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único. V. Los estándares de calidad de la imagen y sonido que se requerirán para efectuar la comunicación en línea. VI. En su caso, la descripción de los factores de autenticación que se requerirán al Usuario VII. Los mecanismos a través de los cuales se asegurarán de dar cumplimiento a lo previsto en el Artículo 2 de este Anexo.

Fundamento

Número de Página

Artículo 4

Artículo 4, fracción I Artículo 4, fracción II

Artículo 4, fracción III

Artículo 4, fracción IV Artículo 4, fracción V Artículo 4, fracción VI Artículo 4, fracción VII

Aunado al párrafo anterior los Sujetos Obligados deberán colocar respecto de su Escrito, el número de página en donde se ve reflejado que da cumplimiento al requisito de acuerdo a la descripción del proceso al que se refiere el punto 2.2. en relación con el Anexo 2 de las Disposiciones.

Para el caso de los Anexos B y C podrán ser utilizados indistintamente por los Sujetos Obligados a los que se le dirige el presente documento. Anexo B - Formato de Cumplimiento (Riesgo Tecnológico). #

Descripción de Cumplimiento

Fundamento

La descripción detallada del proceso y los servicios, así como los sistemas, incluyendo el nombre completo de los participantes.

Artículo 4

De acuerdo con la tecnología utilizada, se deberán detallar los sistemas, equipos y aplicaciones utilizados por la entidad para el proceso de contratación no presencial en un diagrama de interrelación; así como los mecanismos de consulta del INE y RENAPO. En la utilización de tecnología especializada, se deberá describir los servicios que impliquen almacenar imágenes, voz y/o video de clientes y se deberán mantener copia de las mismas en un formato y herramientas que permitan su acceso y consulta de forma inmediata, así mismo en la comunicación los medios y controles en los que será grabada y conservada sin ediciones en su total duración. Descripción de arquitectura de la tecnología utilizada: i. Tipo de nube (pública, privada o híbrida). ii. Localidades específicas en donde se almacenará y procesará la información. iii. Nombre del proveedor de la nube. iv. Proyecto de contrato. De acuerdo a la tecnología utilizada, se deberá mencionar en donde se realizarán cada uno de los procesos, servicios, así como la localización detallada de los centros de datos (primario y secundario) en donde se almacenará y procesará la información. Diagrama de telecomunicaciones y descripción de los medios para el procesamiento y transmisión de la información, datos y archivos, en donde garanticen su integridad, en el cual se pueda apreciar la conexión existente entre cada uno de los participantes en la prestación del servicio (centros de datos, Sociedad, etc.), incluyendo los esquemas de redundancia, así como la descripción de los enlaces de comunicación de los participantes (ancho de banda, tipo de servicio, etc.). Se deberá describir la estrategia de continuidad de negocios (Business Continuity Plan) de la entidad y los participantes, en caso de contingencias, fallas o interrupciones en las telecomunicaciones o de los equipos de cómputo principales, que participan en transmisión y resguardo de la información, datos y archivos. Conforme al almacenamiento y resguardo de la información que se lleva acabo, especificar el lugar donde estará almacenada la plataforma especificando, la ubicación en donde se prestará el servicio (territorio nacional o en el extranjero) Describir si la información, datos y archivos de la Entidad y clientes será almacenada y resguardada en sus equipos o en instalaciones externas, detallando los mecanismos de accesos a la información. Describir los mecanismos de la entidad para garantizar la integridad y confidencialidad, para lo cual deberá contar con los medios necesarios para la transmisión y resguardo de información, datos y archivos, mediante mecanismos de cifrados, en la comunicación en cada uno de los nodos. La tecnología utilizada para estos procedimientos deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o

Artículo 1 Fracción V

Artículo 1 Fracción VI

Artículo 2

Artículo 1 Fracción VI

Número de Página

Descripción de Cumplimiento

Fundamento

administrador único de la Sociedad, donde se utilice algún servicio como computo en la nube.

Asimismo, deberá incluirse un informe con la evaluación de los riesgos (operacionales y tecnológicos) que implican para la Entidad el compartir infraestructura con otras Entidades. Describir la generación y la gestión del código de un solo uso que es requerido al solicitante al inicio de la comunicación. Descripción de los procesos, sistemas y controles al momento de tomar imágenes del solicitante y de la credencial para votar presentada, por el anverso y reverso con las cuales estampará la fecha y la hora en la que fueron tomadas, así como la forma en que son obtenidas de un servidor de tiempo protegido, así como sus estándares de calidad de imagen, audio y video. Descripción de la tecnología y mecanismos de validación que dan parámetros de fiabilidad con lo que se realice el reconocimiento facial del solicitante.

Artículo 1, fracción IV

Artículo 1, fracción II

Artículo 1, fracción III

Número de Página

Anexo C - Formato de Cumplimiento (Seguridad de la Información) #

Descripción de Cumplimiento Diagrama de arquitectura en el que se muestren los componentes de seguridad y de redes de la infraestructura relacionada con el servicio que aseguren que solamente el tráfico autorizado es el permitido. Dicho diagrama deberá incluir a cada uno de los participantes en el proceso de contratación no presencial, considerando centros de datos de la Entidad, proveedores de servicios, autoridades (Renapo, INE), etc. Descripción de los mecanismos para el almacenamiento seguro de información, video llamadas, grabaciones, imágenes de documentos, factores de autenticación (token, contraseñas, códigos de un solo uso, etc); indicando la información que será resguardada en la infraestructura tecnológica de cada proveedor o de la propia Entidad. Descripción de los mecanismos para el aseguramiento de los canales de comunicación, indicando qué información es transmitida por cada canal y los mecanismos de cifrado en cada uno de dichos canales. Descripción de los mecanismos que aseguran la integridad de la información y operaciones transmitidas y almacenadas (uso de hash, firma de certificados, entre otros). Descripción detallada de los componentes de seguridad implementados en la tecnológica utilizada para los reconocimientos de identificación de rostro. Descripción de los mecanismos utilizados para la gestión de accesos a los sistemas utilizados en el proceso de identificación no presencial, asimismo proporcionar las políticas para la gestión de accesos, en las que se incluya el uso de contraseñas robustas. Descripción general del proceso de gestión de incidentes de seguridad de la información que llevará a cabo la Entidad, asimismo proporcionar las políticas y procedimientos para la gestión de dichos incidentes. Adicionalmente, una vez que el proyecto sea aprobado, y que se inicie la etapa de implementación, la Entidad deberá proporcionar a esta Comisión lo siguiente: a)

Resultados de las pruebas tendientes a detectar vulnerabilidades y amenazas, así como de penetración en los diferentes componentes de la infraestructura tecnológica utilizada en el proceso ya sea propia o de terceros. Con respecto a las pruebas de penetración antes mencionadas, estas deberán realizarse por un tercero independiente, con personal que cuente con la capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia. Asimismo, proporcionar la evidencia de la mitigación de las vulnerabilidades detectadas durante las pruebas, o en su caso el plan de remediación en el que se establezcan plazos para su remediación antes de la liberación de proyecto.

b) Pruebas de calibración de los sistemas, herramientas o

Fundamento Artículo 2 Artículo 4 Fracción VII

Artículo 2 Artículo 4 Fracción VII Artículo 2 Artículo 4 Fracción VII Artículo 2 Artículo 4 Fracción VII Artículo 2 Artículo 4 Fracción VII Artículo 2 Artículo 4 Fracción VII Artículo 2 Artículo 4 Fracción VII Artículo 2 Artículo 4 Fracción IV Artículo 4 Fracción VII

Número de Página

Descripción de Cumplimiento mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen, realizadas conforme a los umbrales establecidos por la Entidad, que contemple los resultados de dichas pruebas, ajustes del motor de validación derivado de ellos y evidencias de todo lo anterior.

Fundamento

Número de Página