DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A INSTITUCIONES DE CRÉDITO

Mediante la Resolución publicada el 12/10/2020, la Secretaria de Hacienda y Crédito Público modificó las disposiciones de carácter general aplicables a las instituciones de crédito.

1. ALCANCE DE LA NORMA

Las Instituciones podrán conformar una base de datos de información biométrica de sus clientes apegándose según los establece la normativa, a fin de utilizarla para la verificación de su identidad con el fin de celebrar contratos de operaciones activas, pasivas o de servicios, o bien, solicitar medios de pago para la realización de retiros de efectivo y de transferencias de recursos, salvo los que se realicen con cargo a Cuentas Bancarias Niveles 1 y 2.

2. PROCESO DE VERIFICACIÓN

Las empresas podrán realizar la verificación de la identidad de sus clientes prevista en la legislación. Para ello, las Instituciones deberán sujetarse a lo siguiente:

• Requerir a la persona cuyos datos se almacenarán en la referida base, su credencial para votar expedida por el Instituto Nacional Electoral o identificación expedida por alguna otra autoridad mexicana, cuyos datos biométricos puedan verificarse con alguna autoridad mexicana que provea un servicio de verificación de información biométrica.
• Hacer primeramente la captura de la información biométrica de sus empleados, directivos o funcionarios que tendrán a su cargo recopilar las de los clientes. Una vez concluida esta captura, recopilarán las de sus clientes. En ambos casos, las Instituciones deberán cumplir con los requerimientos técnicos establecidos en el Anexo 71 de la norma.
• Tratándose de huellas dactilares, o bien, tratándose de datos biométricos distintos a huellas dactilares, verificar que estos coinciden con los registros biométricos en posesión de alguna autoridad mexicana; en ambos casos, las Instituciones deberán observar en todo momento que se cumplan, al menos, los requerimientos del Anexo 71. Asimismo, deberán corroborar la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población y que los datos proporcionados por el cliente coinciden con los de dicho registro.

3. RESPECTO LA CONTRATACIÓN

Para efectos de las contrataciones, las Instituciones deberán verificar la coincidencia de la información biométrica del cliente o solicitante, según corresponda, con los registros del Instituto Nacional Electoral o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica similar al de dicho instituto.

En caso de que la información biométrica, sean las huellas dactilares del cliente o solicitante, las Instituciones deberán asegurarse que las aplicaciones o medios de que dispongan aseguren que la huella dactilar se obtenga directamente del cliente o solicitante, es decir, una prueba de huella viva, evitando el registro de huellas provenientes de impresiones en algún material que pretenda simular la huella de otra persona o de imágenes que persigan tal fin, y contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de dichas aplicaciones o medios no sea conocida ni utilizada por terceros no autorizados, así como autenticar que la huella dactilar que se obtenga del cliente o solicitante que presenta la credencial para votar coincida, al menos, en un noventa y ocho por ciento con los registros de las bases de datos de las autoridades mexicanas.

4. IMPOSIBILIDAD DE VERIFICACIÓN

Cuando el Instituto Nacional Electoral no pueda responder a las solicitudes de verificación de información biométrica, por causas imputables a dicho instituto, las Instituciones podrán efectuar una comunicación con el cliente o solicitante a través de un medio audiovisual, utilizando herramientas automatizadas que permitan su grabación y posterior reproducción.

Asimismo, la comunicación deberá tener una duración de, al menos, 30 segundos continuos y sin interrupción, así como ser grabada colocando el dispositivo de manera horizontal, así como ser conservada sin ediciones en su total duración por un periodo mínimo de 10 años. Durante dicha comunicación, las instituciones deberán observar lo siguiente:

• Registrar la hora y fecha de la realización de la comunicación.
• Verificar que la calidad de la imagen y del sonido permitan la plena identificación del solicitante o cliente, según los parámetros que establezcan las propias Instituciones para tal efecto.
• Requerir al solicitante o cliente que muestre su credencial para votar expedida por el Instituto Nacional Electoral, tanto por el anverso como por el reverso, confirmando mediante herramientas automatizadas que esta contenga los mismos datos y fotografía de la credencial que envió junto con el formulario.
• Utilizar tecnología especializada que les permita lograr una identificación fehaciente del solicitante o cliente con el nivel de fiabilidad, asegurándose que exista coincidencia entre su rostro y el de la credencial para votar recibida.
• Identificar, a través de herramientas automatizadas, patrones de conducta sospechosos que pudieran indicar que el solicitante o cliente que está realizando la comunicación no es la persona que dice ser.
• Realizar una prueba de vida al solicitante o cliente durante la comunicación.

5. MECANISMOS DIFERENCIADOS

La institución encargada de la fiscalización (La Comisión) podrá aprobar mecanismos distintos a los previstos mencionados anteriormente para identificar a solicitantes o clientes, así como para verificar documentos de identificación diferentes a los referidos en dicho artículo, siempre que las Instituciones cumplan, al menos, con lo siguiente:

• Incluir un elemento de validación de información biométrica contra los registros de alguna autoridad mexicana con una coincidencia mínima del noventa y ocho por ciento, así como prever mecanismos alternos de identificación, en caso de que la validación biométrica no se encuentre disponible en ese momento.
• Requerir al solicitante o cliente que presente su identificación oficial con fotografía expedida por alguna autoridad mexicana, tanto por el anverso como por el reverso.
• En el caso de solicitantes, verificar los elementos de seguridad de la identificación oficial con fotografía que se presenten para aprobación, y corroborar los datos o información contenida en dicha identificación contra los registros de la autoridad que la haya emitido considerando, cuando menos, el nombre completo y alguna otra clave o código que se incluya en la identificación.
• Corroborar los datos de la Clave Única de Registro de Población con el Registro Nacional de Población.
• Realizar una prueba de vida.

En el supuesto en que las entidades utilicen los medios alternativos presentados con anterioridad deberán presentar también, lo siguiente:

• Descripción detallada de la Infraestructura Tecnológica utilizada en cada parte del proceso de identificación no presencial, especificando la función de cada componente de dicha infraestructura. Asimismo, las Instituciones deberán incluir a todos los proveedores de tecnología que intervienen en la Infraestructura Tecnológica y, en su caso, las aplicaciones principales utilizadas para el referido proceso y su interrelación.
• Descripción de los medios electrónicos utilizados para que los solicitantes envíen, en su caso, el formulario y documentos por un canal seguro considerando, al menos, el tipo de transmisión del dispositivo hacia el nodo que recibe la información del formulario, tales como Hypertext Transfer Protocol Secure o Transport Layer Security versión 1.2 o superior.
• Nombre del prestador de servicios de certificación autorizado por la Secretaría de Economía utilizado, en su caso, para la conservación de la versión digital de la credencial para votar expedida por el Instituto Nacional Electoral o cualquier otra identificación oficial con fotografía, conforme a la Norma Oficial Mexicana sobre digitalización y conservación de mensajes de datos aplicable.
• Diagrama de red que muestre todos los componentes de la Infraestructura Tecnológica que forman parte del proceso de identificación no presencial, incluyendo la segregación de redes de comunicaciones y equipos de seguridad perimetral, considerando esquemas de redundancia.
• Información detallada sobre si las imágenes de identificaciones oficiales, grabaciones e información biométrica se mantendrán en instalaciones de proveedores de servicios o de la propia Institución, describiendo los controles para la gestión de acceso y mecanismos para su almacenamiento.
• Evidencia de que los medios de verificación de los documentos de identificación de los clientes o solicitantes tiene la efectividad aprobada por el comité de riesgos de la Institución de que se trate.
• En su caso, evidencia de que los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen, tengan el nivel de fiabilidad determinado por el comité de riesgos de la Institución de que se trate.
• En su caso, información detallada sobre las pruebas de calibración a los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen. Dichas pruebas deberán ser realizadas conforme a los umbrales establecidos por la Institución, los cuales habrán de contemplar los resultados de estas pruebas y los ajustes del motor de validación derivado de ellos. Las Instituciones deberán acompañar a su solicitud de aprobación evidencias de todo lo anterior.
• Mecanismos a través de los cuales transmitirán y resguardarán de manera segura la información, datos y documentos generados en el procedimiento de identificación no presencial.
• Mecanismos utilizados para garantizar la integridad, correcta lectura, imposibilidad de manipulación y adecuada seguridad, conservación y localización de la información, datos y documentos.
• Mecanismos de cifrado en los canales de comunicación utilizados en el proceso de identificación no presencial, indicando la información que será transmitida por cada uno de dichos canales.
• Mecanismos utilizados para la gestión de accesos a los sistemas, así como las políticas para la gestión de accesos, en las que se incluya el uso de contraseñas robustas.
• Políticas y procedimientos de gestión de incidentes de Seguridad de la Información.
• Mecanismos o herramientas utilizadas para el monitoreo y bloqueo de contrataciones que presenten las situaciones descritas en el inciso e) de la fracción VIII del cuarto párrafo del Artículo 51 Bis 6 de las presentes disposiciones.
• Proyecto del manual de cumplimiento señalado en la 64ª de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, emitidas por la Secretaría o las que las sustituyan, o algún otro documento o manual elaborado por las Instituciones en el que se desarrollen las políticas, criterios, medidas y procedimientos necesarios para llevar a cabo, al menos, lo siguiente:
  • Verificar la coincidencia en listas de personas bloqueadas, listas de personas políticamente expuestas y las demás listas con las que cuentan las Instituciones.
  • Determinar el perfil transaccional inicial y el grado de riesgo de los clientes.
  • Conexión con el o los sistemas automatizados con los que cuenten las Instituciones.
• Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como pruebas de penetración en los diferentes componentes de la Infraestructura Tecnológica utilizada en el proceso, ya sea propia o de terceros. Las pruebas de penetración mencionadas deberán realizarse por un tercero independiente que cuente con personal que tenga la capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia.

Fuente: Diario Oficial