• 19 septiembre, 2020 05:05

Nuevo. DISPOSICIONES. Interfaces de programación de aplicaciones informáticas estandarizadas. #fintech.

porDADO

Jun 4, 2020

DISPOSICIONES
de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera

 


Diario Oficial de la Federación
Jueves 4 de junio 2020 [DOF]

PDF: DACGS FINTECH 4-JUNIO-2020

ABC-COMPLETO

ABC

Contexto

Marco legal:

  • Ley para Regular las Instituciones de Tecnología Financiera
  • Ley de la Comisión Nacional Bancaria y de Valores
  • Ley General de Mejora Regulatoria

Antecedentes

  • El 22 de enero de 2018, la Comisión Nacional Bancaria y de Valores publicó en el Diario Oficial de la Federación la reforma a las “Disposiciones de carácter general aplicables a las instituciones de crédito”, para flexibilizar el plazo para constituir requerimientos de capital de forma gradual.
  • El 9 de marzo de 2018 se publicó la Ley para Regular las Instituciones de Tecnología Financiera y las reformas a:
    • Ley de Instituciones de Crédito
    • Ley del Mercado de Valores
    • Ley General de Organizaciones y Actividades Auxiliares del Crédito
    • Ley para la Transparencia y Ordenamiento de los Servicios Financieros
    • Ley para Regular las Sociedades de Información Crediticia
    • Ley de Protección y Defensa al Usuario de Servicios Financieros
    • Ley para Regular las Agrupaciones Financieras
    • Ley de la Comisión Nacional Bancaria y de Valores
    • Ley Federal para la Prevención e Identificación de Operaciones de Procedencia Ilícita
  • La Ley para Regular las Instituciones de Tecnología Financiera establece la obligación de intercambiar datos a través del uso de interfaces de programación de aplicaciones estandarizadas, para fomentar la competencia en los mercados, y para la inclusión financiera. Esta obligación es exigible a:
    • las entidades financieras,
    • los transmisores de dinero y
    • las sociedades autorizadas para operar con Modelos Novedosos,
  • La ley faculta a la Comisión Nacional Bancaria y de Valores para emitir disposiciones de carácter general para el intercambio de datos a través del uso de interfaces de programación de aplicaciones estandarizadas

Objetivos

  • La autoridad reguladora busca que el intercambio de información se realice de una forma adecuada, transparente y equitativa. Para ello, establece el procedimiento para autorizar y registrar las contraprestaciones que se cobrarán por el uso de las interfaces de programación de aplicaciones estandarizadas.
  • Los datos financieros abiertos no contienen información confidencial, por lo que no existe riesgo al compartirla libremente. Tal información incluye entre otras cosas:
    • productos y servicios que se ofrecen al público en general,
    • la ubicación de oficinas y sucursales,
    • información de cajeros automáticos,
  • Con estas disposiciones, la CNBV busca establecer formas de cumplimiento más sencillas que las previstas en la Ley mediante una manera más expedita para obtener su autorización para acceder a los datos financieros abiertos, a través de interfaces de programación de aplicaciones informáticas estandarizadas.

Contenidos y alcances

Las Disposiciones regulan fundamentalmente a dos sujetos: los solicitantes de datos y los proveedores de datos.

Solicitantes de Datos

Son las Entidades Financieras, ITF, sociedades autorizadas para operar con Modelos Novedosos, transmisores de dinero y terceros especializados en tecnologías de información.

  • Si las APIs de los Solicitantes de datos cumplen con estas Disposiciones, se tendrán por autorizados por la CNBV, sin necesidad de declaración alguna, para acceder a los Datos de los Proveedores de Datos.

API (Application Programming Interface). Interfaces de programación de aplicaciones informáticas estandarizadas para el intercambio de Datos.

Proveedores de Datos

Son las Entidades Financieras, ITF, sociedades autorizadas por la CNBV para operar con Modelos Novedosos y transmisores de dinero, que estén obligadas por ley, a establecer APIs con el fin de compartir Datos.

  • Las APIs de los Proveedores de Datos deben cumplir con los Anexos 1, 2 y 3 de las disposiciones.
  • Proceso.- Deben publicar en su página de Internet, de forma clara, precisa y en español,  el proceso que deben seguir los Solicitantes de Datos para acceder a los Datos a través de APIs y el precio a pagar por el intercambio de Datos.
  • Términos y Condiciones.- Los términos y condiciones que establezcan los Proveedores de Datos deben establecer mecanismos y controles que aseguren la confidencialidad e integridad de los Datos al ser accesados, procesados y almacenados por los Solicitantes de Datos.
  • Política de Seguridad.- Los Proveedores de Datos deben contar con una política de seguridad de la información que proteja la Infraestructura y la confidencialidad e integridad de los Datos, y deberá contener procedimientos continuos, mecanismos y controles como los siguientes:
    • Detección y prevención de virus, códigos maliciosos y detección de intrusos.
    • Identificación y autenticación del personal responsable del manejo de APIs bajo el principio de mínimo privilegio.
    • Cifrado de la información almacenada y de los canales.
    • Procesos de gestión para la atención de Incidentes de Seguridad de la Información que se presenten en la operación de las APIs.
    • Programa de pruebas de escaneo de vulnerabilidades y amenazas en el acceso y administración de las APIs, una vez cada 3 meses.
    • Programa de pruebas de penetración: dos pruebas al año sobre sistemas y aplicativos, realizadas por un tercero independiente.
    • Mecanismos de respaldo y procedimientos de recuperación de la información que mitiguen el riesgo de interrupción de la operación.
    • Registros de auditoría íntegros, que deberán conservarse por un año.
  • Infraestructura.- Debe cumplir con lo siguiente:
    • Que garantice el acceso solamente de lectura.
    • Que esté segregada de aquella que soporte cualquier operación
    • Que cuente con mecanismos de seguridad que limiten el acceso bajo el principio de mínimo privilegio.
    • Garantice la disponibilidad del intercambio de Datos.
    • Cuente con registros de auditoría íntegros.

 Se entenderá como principio de mínimo privilegio la habilitación del acceso únicamente a la información y recursos necesarios para el desarrollo de las funciones propias del personal responsable del manejo de APIs.

  • Reporte de incidentes. Si se presenta un Incidente de Seguridad de la Información, los Proveedores de Datos deben reportarlo a la CNBV inmediatamente por correo electrónico.
  • Incumplimientos. Cuando se interrumpa el acceso de información a un Solicitante de Datos debido al incumplimiento de los términos y condiciones pactados, deberá notificarse por correo electrónico a la CNBV.
  • Contraprestaciones. Los Proveedores de Datos deben presentar las contraprestaciones para su autorización y registro ante la CNBV.

Programas de regularización

  • EL Banco de México, la CNBV, la CONSAR, la CNSF y la CONDUSEF, pueden ordenar la suspensión parcial o total, temporal o definitiva, del intercambio de información y datos cuando se incumplan estas disposiciones de carácter general, respecto de:
    • las Entidades Financieras
    • las ITF
    • las sociedades autorizadas por la CNBV para operar con Modelos Novedosos
    • Los transmisores de dinero
  • Esos mismos regulados, al ejercer su derecho de audiencia, pueden presentar un programa de regularización, para aprobación de la CNBV, que contenga lo siguiente:
    • Señalar las acciones que se implementarán para observar las obligaciones previstas en las presentes disposiciones que hayan incumplido.
    • Especificar las etapas y plazos de cada una de las acciones a implementar, así los responsables. No deberá exceder de 3 meses.
    • Las medidas para prevenir nuevos incumplimientos.
  • La CNBV tendrá 20 días hábiles para resolver.
    • Podrá prevenir al interesado, por una sola ocasión, dentro de los primeros 10 días hábiles, sobre la falta de requisitos o para solicitar mayor información.
    • El interesado tendrá 5 días hábiles para atender el requerimiento, de lo contrario, la CNBV resolverá con la información con la que cuente.
    • Cuando exista prevención, se ampliará el plazo de resolución con 5 días hábiles más.