GUÍA PARA LA AUTORIZACIÓN DE CONTRATACIÓN DE COMISIONISTAS VERSIÓN 1.0 ÍNDICE Objetivo de la guía Definiciones Presentación del proyecto Sección I
1
GUÍA PARA LA
AUTORIZACIÓN DE
CONTRATACIÓN DE
COMISIONISTAS
VERSIÓN 1.0
29 xx xxxxxx de2017
2
ÍNDICE
Objetivo de la guía
Definiciones
Presentación del proyecto
Sección I
a) Escrito de solicitud
1. Información relativa a la institución de crédito.
2. Información xxx xxxxxxx con el que se pretende celebrar el contrato de comisión
mercantil.
3. Operaciones que serán materia de la comisión mercantil y los límites de operación.
4. Área geográfica que se pretende abarcar.
5. Plan estratégico de negocios.
6. Anexos del escrito de solicitud.
7. Puntos petitorios.
b) Aviso en términos del artículo 321 de las Disposiciones de carácter general aplicables a las instituciones de crédito.
1. Información relativa a la institución de crédito. 2. Información xxx xxxxxxx con el que se pretende celebrar el contrato de comisión
mercantil.
3. Operaciones que serán materia de la comisión mercantil y los límites de operación. 4. Área geográfica que se pretende abarcar. 5. Plan estratégico de negocios. 6. Anexos del escrito de solicitud.
7. Puntos petitorios.
Sección II
Requisitos legales
Plan Estratégico de Negocios
a) Aspectos generales. b) Contrato de comisión mercantil.
3
Sección III Aspectos en materia de Riesgo Tecnológico
Anexos Anexo 52 de la CUB
Anexo 57 de las CUB
Formato de Información de Sistemas Aplicativos (F-SA)
4
Objetivo de la Guía
La presente Guía constituye una herramienta de apoyo a las instituciones de crédito interesadas
en contratar con terceros comisiones que tengan por objeto la captación de recursos del público
y otras operaciones bancarias fuera de las oficinas bancarias, en términos de lo dispuesto por el
artículo 46 Bis 1 de la Ley de Instituciones de Crédito y del Capítulo XI, Sección Segunda de las
Disposiciones de carácter general aplicables a las instituciones de crédito. Su objetivo es facilitar
a los promoventes la adecuada integración de los expedientes que constituirán el sustento
documental de su solicitud.
Este documento ha sido elaborado sólo con fines prácticos, utilizando como metodología la
exposición ordenada del conjunto de requisitos que establece la regulación vigente -Ley de
Instituciones de Crédito y Disposiciones de carácter general aplicables a las instituciones de
crédito- para obtener la autorización referida, con explicaciones y orientaciones que coadyuven al
cumplimiento de cada requisito en particular.
Esta Guía, es igualmente aplicable para el caso de solicitudes de autorización para la contratación
de comisiones mercantiles a través de un Administrador de Comisionistas.
Se agrega a la presente Guía el Formato de Información de Sistemas Aplicativos (F-SA), con
indicaciones adicionales para facilitar su llenado.
Con el fin de conocer desde el inicio del proceso los elementos esenciales del proyecto que se
presente a la Comisión Nacional Bancaria y de Valores, se mencionan en la Guía aquellos aspectos elementales que es necesario que los promoventes expongan, en su caso, en una reunión
introductoria con los funcionarios de las áreas competentes, con respecto a la viabilidad,
características y bondades del esquema, sin perjuicio del análisis posterior a la documentación
soporte que la propia autoridad llevaría a cabo.
5
Definiciones
Para los efectos de la presente Guía se entenderá por:
Administrador de comisionistas: a los terceros, facultados a través de un mandato o comisión para
que contraten a su vez, con otras personas a nombre y por cuenta de una institución, las
comisiones a que se refiere el Capítulo XI, Sección Segunda de las Disposiciones de carácter
general aplicables a las instituciones de crédito.
CNBV: a la Comisión Nacional Bancaria y de Valores.
Comisionista: a la persona con la que la institución haya celebrado un contrato de comisión
mercantil para realizar las operaciones previstas en el artículo 46 de la ley de Instituciones de
Crédito.
CUB: a las Disposiciones de carácter general aplicables a las instituciones de crédito.
Institución: a la institución de crédito que confiere la comisión mercantil.
LIC: a la Ley de Instituciones de Crédito.
6
Presentación del proyecto
En esta presentación exponer de manera general (de preferencia con apoyo audiovisual),
los siguientes aspectos:
1. Denominación xxx xxxxxxx a contratar.
2. Operaciones a realizar.
3. Presencia en el mercado.
4. Infraestructura tecnológica.
7
Sección I
A) Escrito de solicitud
El escrito de solicitud de autorización para celebrar contratos de comisión mercantil con terceros
será en formato libre y deberá contener la información que describa los aspectos generales de la
contratación de conformidad con los Apartados de esta Sección.
Corresponderá promover la solicitud a la Institución que pretenda celebrar el contrato de comisión
mercantil con terceros respecto de las operaciones previstas en el artículo 319 de la CUB.
Este escrito se presentará a la Comisión, acompañado de la documentación a que se refiere la
normatividad aplicable, con cuando menos veinte días hábiles de anticipación a la fecha en que se
pretendan contratar la comisión mercantil.
Las personas que promuevan en nombre de las instituciones de crédito, deberán acreditar que
cuentan con facultades para gestionar la solicitud, o generales para la realización de actos de
administración.
En este escrito también deberán considerarse las autorizaciones adicionales, en caso de que
resulten aplicables a la comisión mercantil.
Se sugiere anexar al escrito de solicitud respectivo una matriz de cumplimiento, en la que se relacione la documentación con la que se acredita el cumplimiento de cada uno de los requisitos
establecidos en las Disposiciones.
8
Contenido del escrito de solicitud
I. Información relativa a la institución de crédito.
En este apartado se deberá contener la denominación de la Institución y los datos del
representante que promueve la solicitud.
II. Denominación xxx xxxxxxx con el que se pretende celebrar el contrato de comisión
mercantil.
Incluir la denominación completa xxx xxxxxxx y, en su caso, los nombres comerciales con
los que es conocido.
En el caso de que pretenda utilizar el esquema de Administrador de Comisionistas,
incorporar los datos de dicho Administrador, una breve explicación de su historia
corporativa y de los motivos por los que fue seleccionado.
III. Las operaciones que serán materia de la comisión mercantil y los límites de operación.
Especificar las operaciones que el tercero a contratar realizará a nombre y por cuenta
de la institución de crédito, señalando la forma en que éstas se llevarán a cabo (en
efectivo, cheques, con cargo a tarjeta de crédito o de débito).
Señalar los límites de operación a los que estarán sujetas las operaciones que sean
materia de la comisión mercantil.
IV. El área geográfica que se pretende abarcar.
Incorporar una breve explicación de la cobertura geográfica en la que el tercero tiene
presencia y será beneficiada con esta contratación.
V. Plan estratégico de negocios.
Describir en términos generales el plan estratégico de negocios.
VI. Anexos del escrito de solicitud.
Incluir un índice de los anexos que servirán de soporte documental para acreditar lo
manifestado en el escrito de solicitud y el cumplimiento de los requisitos que se
mencionan en la Sección II de la presente Guía.
VII. Puntos petitorios.
Incorporar de manera expresa la solicitud relativa a la autorización para la celebración
del contrato de comisión mercantil con terceros que actúen en todo momento a
nombre y por cuenta de la Institución, así como sus respectivos anexos, en los términos
del planteamiento que se presente, para todos los efectos legales a que haya lugar.
9
B) Aviso en términos del artículo 321 de las Disposiciones de carácter
general aplicables a las instituciones de crédito.
El escrito que contenga el aviso a que se refiere el artículo 321 de la CUB, será en formato libre
suscrito por el director general de la institución y deberá contener la información que describa los
aspectos generales de la contratación mercantil de conformidad con los Apartados de esta
Sección.
Este aviso se presentará a la Comisión, acompañado de la documentación a que se refiere la
normatividad aplicable, con cuando menos veinte días hábiles de anticipación a la fecha en que se
pretendan contratar la comisión mercantil.
10
Contenido del aviso en términos del artículo 321 de la CUB.
I. Información relativa a la institución de crédito.
En este apartado se deberá contener la denominación de la Institución. El aviso
correspondiente deberá estar suscrito por el director general de institución.
II. Denominación xxx xxxxxxx con el que se pretende celebrar el contrato de comisión
mercantil.
Incluir la denominación completa xxx xxxxxxx y, en su caso, los nombres comerciales con
los que es conocido.
En el caso de que pretenda utilizar el esquema de Administrador de Comisionistas, incorporar los datos de dicho Administrador, una breve explicación de su historia
corporativa y de los motivos por los que fue seleccionado.
III. Señalar los límites de operación a los que estará sujeta la operación de retiro de efectivo,
en términos del artículo 323 de la CUB.
IV. El área geográfica que se pretende abarcar.
Incorporar una breve explicación de la cobertura geográfica en la que el tercero tiene presencia y será beneficiada con esta contratación.
V. Plan estratégico de negocios.
Describir en términos generales el plan estratégico de negocios.
VI. Anexos del escrito de solicitud.
Incluir un índice de los anexos que servirán de soporte documental para acreditar lo
manifestado en el escrito de solicitud y el cumplimiento de los requisitos que se
mencionan en la Sección II de la presente Guía.
VII. Puntos petitorios.
Solicitar de manera expresa que se tenga por presentado el aviso a que se refiere el
artículo 321 de la CUB, así como sus respectivos anexos, en los términos del
planteamiento que se presente, para todos los efectos legales a que haya lugar.
11
Sección II
Requisitos legales
Plan Estratégico de Negocios
Este documento deberá presentarse adjunto al escrito de solicitud, por cada una de las
operaciones referidas en el artículo 319 de la CUB, con cuando menos veinte días hábiles de
anticipación a la fecha en la que se pretenda contratar la comisión mercantil.
La institución promovente, estarían en posibilidad de presentar un único Plan Estratégico de
Negocios lo suficientemente fortalecido, que incluya la totalidad de las operaciones que la
institución prevea realizar a través de diversos comisionistas.
El documento deberá contener el desarrollo de los siguientes aspectos:
I. Aspectos generales. (artículos 318, 320 y 334 de la CUB)
a) Contar con un informe que especifique los procesos operativos o de administración de
bases de datos de la Institución que sean objeto cada una de las comisiones a contratar, así
como los criterios y procedimientos que el promovente hubiera aplicado para seleccionar
al tercero. Dichos criterios y procedimientos deben estar orientados a evaluar la
experiencia, capacidad técnica y recursos humanos xxx xxxxxxx con quien se contrate para
prestar el servicio con niveles adecuados de desempeño confiabilidad y seguridad, así como
los efectos que pudieran producirse en una o más operaciones que realice la Institución y
deberán apegarse a lo dispuesto por el Anexo 57 de las Disposiciones.
La aprobación e implementación e implementación de las políticas y criterios para
seleccionar a los comisionistas que contrate la institución será responsabilidad de su
Director General.
La institución solicitante deberá hacer mención de los documentos en los que se encuentren
contenidos dichas políticas y procedimientos.
b) Contar con políticas y procedimientos para vigilar el desempeño del comisionista y el
cumplimiento de sus obligaciones contractuales. Dichas políticas y procedimientos deberán
contener aspectos relativos a:
i. Las restricciones o condiciones, respecto a la posibilidad de que el comisionista
subcontrate, a su vez, la prestación del servicio.
ii. La confidencialidad y seguridad de la información de los clientes.
12
iii. Las obligaciones de la Institución y del comisionista, así como los procedimientos para
vigilar su cumplimiento y, en su caso, las consecuencias legales en el evento de
incumplimiento.
iv. Los mecanismos para la solución de disputas relativas al contrato de comisión.
v. Los planes de continuidad del negocio, incluyendo los procedimientos de contingencia
en caso de desastres, los cuales deberán incluir lo relativo a comisiones mercantiles.
vi. El uso y la explotación a favor de la Institución sobre las bases de datos producto de las
comisiones. vii. El establecimiento de lineamientos que aseguren que los comisionistas reciban
periódicamente una adecuada capacitación e información, en relación con las
comisiones contratadas. Dichos lineamientos deberán señalar responsables, contenido
de la capacitación y periodicidad de la capacitación.
viii. El cumplimiento de los lineamientos mínimos de operación y seguridad que se señalan
en el Anexo 52 y 58, si las comisiones a contratar se refieren a la utilización de
infraestructura tecnológica o de telecomunicaciones.
En estas políticas, se contendrá un apartado relativo a la administración de los Factores de
Autenticación de Clientes y operadores que prevengan el uso indebido de estos.
La institución solicitante deberá hacer mención de los documentos en los que se encuentren
contenidos dichas políticas y procedimientos.
En el caso de que se trate de una institución que solicite por primera vez autorización para
la contratación de comisionistas, adicionalmente deberá adjuntar un ejemplar de dichas
políticas y procedimientos.,
Para el caso de instituciones que realicen la contratación de comisionistas y al amparo de
un Plan Estratégico de Negocios que ya hubiera sido autorizado previamente por esta
Comisión, deberán adjuntar un ejemplar de dichas políticas y procedimiento en caso de que
hayan sido modificadas.
c) Contar con planes para evaluar y reportar al Consejo, al Comité de Auditoría o al director general de la Institución, según la importancia del servicio contratado, el desempeño del
comisionista, así como el cumplimiento de la normativa aplicable relacionada con dicho
servicio.
La institución solicitante deberá hacer mención de los documentos en los que se encuentren
contenidos dichos los planes y adjuntar un ejemplar de los mismos.
d) Xxxxxx que el director general, el Comité de Auditoría, así como el auditor interno de la
Institución definan y vigilen, acorde a su competencia, el cumplimiento de los mecanismos
para el adecuado manejo, control y seguridad de la información generada, recibida,
transmitida, procesada o almacenada en la ejecución de las comisiones que se refieran a la
13
utilización de infraestructura tecnológica, de telecomunicaciones o de procesamiento de
información, que se realicen parcial o totalmente fuera del territorio nacional.
La institución solicitante deberá hacer mención de los documentos en los que se encuentre
contenida la previsión señalada en el párrafo anterior y adjuntar un ejemplar de los mismos.
e) Establecer los criterios que permitan a las Instituciones, a través de su director general,
evaluar la medida en que las respectivas contrataciones pudieran afectar cualitativa o
cuantitativamente las operaciones que realice la Institución, conforme a su objeto,
tomando en cuenta para determinar tal circunstancia, lo siguiente:
i. La capacidad de la Institución para en caso de contingencia mantener la continuidad operativa y la realización de operaciones y servicios con sus clientes, por lo cual deberá
estar acorde con el Plan de Contingencia de la Entidad y Plan de Continuidad de
Negocio.
ii. La complejidad y tiempo requerido para encontrar un tercero que, en su caso, sustituya
al originalmente contratado. En caso de contar con otros comisionistas previamente
autorizados por esta Comisión, se podrá realizar el análisis con base en la sustitución
de los mismos.
iii. La limitación en la toma de decisiones que trasciendan en forma significativa en la
situación administrativa, financiera, operacional o jurídica de la propia Institución.
iv. La habilidad de la Institución para mantener controles internos apropiados y
oportunidad en el registro contable, así como para cumplir con los requerimientos
regulatorios en caso de suspensión del servicio por parte del comisionista. Se deberá
describir quiénes son los encargados de vigilar el cumplimiento de dichos controles y
con qué medidas cuentan para lograr este objetivo.
v. El impacto tanto cuantitativo como cualitativo que la suspensión del servicio tendría en
las finanzas, reputación y operaciones de la Institución.
vi. La capacidad de la Institución de participar eficientemente en el sistema de pagos.
vii. La vulnerabilidad de la información relativa a los clientes. En este aspecto, la Entidad
analizará que datos del cliente son sensibles.
Tratándose de operaciones realizadas a través de Administradores de Comisionistas, las
Instituciones deberán establecer que corresponderá a estos últimos acreditar, en su
carácter de apoderados, el cumplimiento de los requisitos señalados en los incisos a), b), c)
14
y d) anteriores, respecto de las operaciones que efectúen los comisionistas que
administren.
La institución solicitante deberá hacer mención de los documentos en los que se encuentren
contenidos dichas criterios y adjuntar un ejemplar de los mismos.
f) Los modelos de contratos de comisión mercantil que las Instituciones utilizarían para
establecer las respectivas relaciones jurídicas con sus comisionistas.
Es importante destacar que el contrato de comisión mercantil se podrá celebrar una vez
que la Institución cuente con la autorización de esta Comisión.
El contrato de comisión mercantil deberá contener los supuestos a que se refieren los
artículos 318, fracción III y 324 de la CUB y que se describen en el Apartado 3 de esta
Sección.
g) La descripción de los procesos y sistemas que implementaría la Institución para la
realización de las operaciones.
h) Por lo que hace a los requisitos previstos en las fracciones IV, V y VI del artículo 320 de la
CUB, se deberán observar las indicaciones contenidas en la Sección III de esta Guía.
i) Las medidas que deberá instrumentar la Institución en materia de (i) Control Interno, (ii)
Administración Integral de Riesgos, (iii) Seguridad para la prevención de operaciones a que
se refiere el artículo 115 de la Ley y (iv) Dotación de efectivo a sus comisionistas en los
puntos de atención al público.
j) Las medidas que implementarán en los supuestos previstos en el inciso e) anterior.
k) Las características de los terceros con los que la Institución contrataría comisiones
mercantiles al amparo de la presente sección, así como la indicación de los volúmenes de
operación estimados, salvo que se trate de las operaciones a que se refiere la fracción IX
del artículo 319 de la CUB.
l) Un programa que describa las distintas etapas de implementación de las operaciones que
se realicen a través de los comisionistas, en el que se incluyan fechas y responsables.
m) El procedimiento que emplearían en la validación para el pago de cheques, en su caso.
n) Políticas relativas a la contratación de las comisiones, en las que se contemplen como
medidas de evaluación respecto de dichas comisiones, lo siguiente:
15
i. La capacidad del comisionista para implementar medidas o planes que permitan
mantener la continuidad del servicio con niveles adecuados de desempeño,
confiabilidad, capacidad y seguridad.
ii. La integridad, precisión, seguridad, confidencialidad, resguardo, oportunidad y
confiabilidad en el manejo de la información generada con motivo de las comisiones,
así como el acceso a dicha información, a fin de que sólo puedan tener acceso a ella,
las personas que deban conocerla.
iii. Los métodos con que cuenta la Institución para evaluar el cumplimiento al contrato correspondiente, o bien, la adecuada prestación de las comisiones.
iv. Los criterios y procedimientos para calificar periódicamente la calidad del servicio.
v. La capacidad de las Instituciones de mantener la continuidad en las comisiones que
se hubieren contratado, o bien, las opciones externas con que se cuente en cualquier
caso, a fin de disminuir la vulnerabilidad operativa de la Institución.
vi. La afectación de los Niveles de Tolerancia al Riesgo.
vii. La capacidad de las Instituciones, en la Administración Integral de Riesgos para
identificar, medir, vigilar, limitar, controlar, informar y revelar los riesgos que puedan
derivarse de las comisiones.
viii. La capacidad del Sistema de Control Interno para cumplir con las políticas y
procedimientos que regulen y controlen las comisiones.
El Consejo deberá designar a un responsable, que podrá ser el Auditor Interno o el Comité
de Auditoría, para que dé seguimiento, evalúe y reporte periódicamente a dicho Consejo, el
desempeño del comisionista, así como el cumplimiento de las normas aplicables
relacionadas con los servicios o las operaciones correspondientes.
El Consejo deberá revisar cuando menos una vez al año, las políticas de selección de los
comisionistas y aprobar las modificaciones que sean necesarias con base en los resultados
de las evaluaciones realizadas por el responsable de dar seguimiento y evaluar el
desempeño de aquéllos.
Tratándose de las operaciones de compra y venta de efectivo de dólares de los Estados
Unidos de América a que se refiere la fracción XI del Artículo 319 de la CUB, las Instituciones
únicamente deberán considerar en sus políticas, las medidas referidas en los numerales ii y
iii anteriores.
16
II. Contrato de comisión mercantil. (artículos 318 y 324 de la CUB)
Dentro del Plan Estratégico de Negocios, se contemplará un apartado que corresponderá al
modelo de contrato de comisión mercantil que las instituciones utilizarán para establecer las
respectivas relaciones jurídicas con sus comisionistas.
El modelo de contrato de comisión mercantil contendrá cláusulas relativas a:
1. La manifestación en forma expresa y bajo protesta de decir verdad de que el comisionista,
y en su caso, sus directores, gerentes, consejeros y funcionarios principales han acreditado
contar con honorabilidad e historial crediticio y de negocios satisfactorio, de conformidad
con lo dispuesto en el numeral 0 xxx Xxxxx 00 de la CUB
2. El señalamiento expreso de que los terceros que la institución contrate actúan a nombre y
por cuenta de la propia institución.
3. La aceptación incondicional del comisionista, para:
a) Recibir visitas domiciliarias por parte del auditor externo de la Institución, de la CNBV o
de los terceros que la propia Comisión designe en términos de lo dispuesto por el
artículo 117 de la LIC, a efecto de llevar a cabo la supervisión correspondiente, con el
exclusivo propósito de obtener información para constatar que las comisiones
contratados por la Institución, le permiten a esta última cumplir con las disposiciones
de la LIC que le resultan aplicables. Para que se realicen las visitas referidas, las
Instituciones podrán designar un representante.
b) Aceptar la realización de auditorías por parte de la Institución, en relación con los
servicios o comisiones objeto de dicho contrato, a fin de verificar la observancia de las
disposiciones aplicables a las Instituciones.
c) Entregar a solicitud de la Institución, al auditor externo de la propia Institución y a la
Comisión o al tercero que ésta designe, libros, sistemas, registros, manuales y
documentos en general, relacionados con la prestación del servicio de que se trate.
Asimismo, permitirá que se tenga acceso al personal responsable y a sus oficinas e
instalaciones en general, relacionados con la comisión en cuestión.
d) Informar a la Institución con por lo menos treinta días naturales de anticipación,
respecto de cualquier reforma a su objeto social o en su organización interna que
pudiera afectar la realización de la comisión objeto de la contratación.
17
e) En su caso, guardar confidencialidad respecto de la información relativa a las
operaciones activas, pasivas y de servicios que los comisionistas celebren con los
clientes bancarios, así como la relativa a estos últimos.
4. Las operaciones que el comisionista realizará.
Es conveniente que las operaciones que se mencionen en la cláusula respectiva, sean
consistentes con las referidas tanto en el escrito de solicitud como en el propio Plan Estratégico de Negocios.
Tratándose de operaciones que se celebren a través de Administradores de Comisionistas,
se deberán prever, las operaciones que el Administrador de Comisionistas contratará a
nombre de la Institución con los comisionistas que éste administrará, así como, en su caso,
las operaciones y servicios que, en adición a las previstas por la fracción X del Artículo 319
de las presentes disposiciones, realizará el propio Administrador de Comisionistas.
5. Los límites individuales y agregados de las operaciones.
Se deberán tomar en cuenta para el desarrollo de la cláusula respectiva, los límites
establecidos para cada tipo de operación contenidos en el artículo 323 de la CUB.
6. En su caso, a la línea de crédito que la Institución otorgará al comisionista.
Tratándose de operaciones que se celebren a través de Administradores de Comisionistas,
las Instituciones deberán prever en los contratos de comisión mercantil, la obligación
solidaria del Administrador de Comisionistas respecto del cumplimiento por parte de los
comisionistas bancarios sujetos a su administración de lo dispuesto en la fracción I del
artículo 322 de la CUB.
7. Los procedimientos que la Institución utilizará para la identificación del comisionista y de
los clientes bancarios, en términos de lo dispuesto por el Anexo 58 de la CUB, así como los
requisitos operativos y técnicos que deberán cumplirse, tanto por la Institución como por el comisionista.
8. Las sanciones y, en su caso, penas convencionales por los incumplimientos al contrato.
Independientemente de las penas convencionales por el incumplimiento al contrato, se
deberán incluir los supuestos previstos por los artículos 330 y 331 de la CUB.
9. Los requisitos y características que deberán cumplir las partes en la realización de la
comisión.
18
Tratándose de operaciones que se celebren a través de Administradores de Comisionistas,
se deberá prever, la obligación a cargo del citado administrador de acreditar el
cumplimiento de los requisitos señalados en las fracciones II, IV, V y VI del artículo 318 de
la CUB respecto de las operaciones que efectúen con sus comisionistas administrados.
10. La obligación por parte de la Institución de proveer los medios necesarios a fin de dar
cumplimiento a lo dispuesto por la Ley para la Transparencia y Ordenamiento de los
Servicios Financieros y las demás disposiciones legales que les resulten aplicables en la realización de las operaciones objeto de la comisión, así como de asegurarse de que el
comisionista efectivamente cumple lo anterior.
11. Prohibiciones para el comisionista:
a) Condicionar la realización de la operación bancaria a la adquisición de un producto o
servicio, tratándose de las operaciones a que se refieren las fracciones I a X y XII del
artículo 319 de la CUB.
No será aplicable la restricción a que se refiere este inciso, por lo que corresponde a las
operaciones de compra en efectivo de dólares de los Estados Unidos de América, a que
alude la fracción III, en su primer y segundo párrafos, inciso a), del artículo 323 de la
CUB.
b) Publicitarse o promocionarse de cualquier forma a través de la papelería o en el anverso
de los comprobantes que proporcionen a los clientes a nombre de la Institución de que
se trate.
c) Realizar la operación objeto de la comisión en términos distintos a los pactados con la
Institución correspondiente.
d) Subcontratar los servicios relacionados a la comisión mercantil.
e) Cobrar comisiones, por cuenta propia, a los clientes bancarios por la prestación de los
servicios objeto de la comisión mercantil, o bien recibir diferenciales de precios o tasas
respecto de las operaciones en que intervengan. Lo anterior, sin perjuicio del pago de
comisiones que pueda pactarse entre el cliente y la Institución o entre esta última y el
comisionista.
f) Llevar a cabo las operaciones con los clientes bancarios a nombre propio.
g) Pactar en exclusiva con cualquier Institución incluida la comitente, la realización de las
operaciones y actividades consistentes en la recepción de pago de servicios no
bancarios, así como el pago de tarjetas de crédito.
19
12. Los términos y condiciones a que se refiere el último párrafo del inciso b) de la fracción II
del artículo 323 de la CUB, en su caso.
13. Tratándose de las operaciones a que se refiere el artículo 319, fracción IX de la CUB, lo
siguiente:
a) Los procedimientos a través de los cuales la Institución autorizará a las casas de
bolsa para realizar tales operaciones.
b) La obligación de la casa de bolsa comisionista para:
1. Recabar del cliente la información necesaria a fin de dar cumplimiento a lo
previsto en el artículo 115 de la Ley y las disposiciones que de dicho precepto
emanen.
Para ello, las casas de bolsa deberán transmitir en tiempo y forma a la
Institución la información relativa a las mencionadas operaciones, a fin de que
la propia Institución de cumplimiento al citado artículo 115 de la Ley y las
disposiciones que emanen del mismo.
2. Tratándose de operaciones celebradas con instituciones de banca múltiple
comitentes:
i. Recabar y clasificar en sistemas automatizados de procesamiento y
conservación de datos, así como en cualesquier otro procedimiento técnico,
toda la información que le permita a la institución de banca múltiple dar
deberán sujetarse las instituciones de banca múltiple para clasificar la
información relativa a operaciones relacionadas con obligaciones
emitidas por el IPAB, o las que las sustituyan.
ii. Transmitir a la institución de banca múltiple comitente, simultáneamente al momento de la celebración de cada operación, a través de sus sistemas, la
información que de conformidad con las Reglas referidas en el numeral
anterior, esta última deba mantener. Lo anterior, sin perjuicio de que los
contratos a que se refiere el presente artículo deberán contener la
obligación a cargo de las casas de bolsa que actúen como comisionistas, de
transmitir a las instituciones de banca múltiple comitentes, toda la
información referida en la Tercera de las Reglas mencionadas en el numeral
i. anterior, cuando así les sea requerido por la Comisión, directamente o a
petición del IPAB, siempre que se actualicen los supuestos correspondientes
a la resolución de la institución de banca múltiple comitente en términos del
artículo 122 Bis de la LIC;
20
iii. Obtener del cliente al momento de celebrar las operaciones, una
manifestación por escrito o por cualquier medio que se pacte con el cliente
bancario, en los términos del formato contenido como Anexo 60 de la CUB
y;
iv. Entregar al cliente, en el reverso del documento a que se refiere el numeral
iii. anterior o por cualquier medio que se pacte con el cliente bancario, un
texto informativo en los términos establecidos en el Anexo 61 de la CUB.
3. Los términos bajo los cuales deberá efectuarse la liquidación de las
operaciones.
En caso de que la liquidación de las operaciones respectivas se lleve a cabo en
las oficinas adicionales de las casas de bolsa, entregar al cliente el importe
respectivo en la forma en que se pacte al momento de la contratación. En todo
caso, si el cliente no solicita a la oficina adicional la referida liquidación en un
plazo de tres días hábiles contados a partir de la fecha de vencimiento de la
operación, la casa de bolsa quedará liberada de la obligación de realizar el pago
correspondiente a favor del cliente, por lo que la liquidación deberá efectuarse
directamente con la Institución.
14. La obligación por parte de la Institución de proveer los medios necesarios a fin de dar
cumplimiento a las disposiciones a que se refieren los numerales 1 y 2 anteriores, y, en
general, a lo establecido por las disposiciones relativas al sistema de protección al ahorro
bancario, así como de asegurarse de que el comisionista efectivamente cumple lo anterior.
15. Tratándose de las operaciones a que se refiere la fracción XI del artículo 319 de la CUB, la
obligación del comisionista para recabar y conservar del cliente la información necesaria a
fin de dar cumplimiento a lo previsto en el artículo 115 de la LIC y las disposiciones que de
dicho precepto emanen, observándose, en todo caso, lo dispuesto por el Anexo 59 de la
CUB.
Los comisionistas deberán enviar a la Institución la información relativa a las mencionadas operaciones, a fin de que la propia Institución dé cumplimiento al citado
artículo 115 de la Ley y las disposiciones que emanen del mismo con base en la
información recibida de los comisionistas.
16. La facultad de la Institución para suspender operaciones o dar por terminado el respectivo
contrato sin responsabilidad, en términos de lo dispuesto por los artículos 319, fracción XI,
último párrafo, y 331 de la CUB.
17. Tratándose de las operaciones a que se refiere la fracción X del artículo 319 de la CUB, la
obligación del comisionista o, en su caso, del Administrador de Comisionistas para recabar
21
del cliente la información necesaria a fin de dar cumplimiento a lo previsto en el artículo
115 de la LIC y las disposiciones que de dicho precepto emanen.
Para ello, los citados comisionistas o, en su caso, Administradores de Comisionistas deberán
transmitir en tiempo y forma a la Institución la información relativa a las mencionadas
operaciones, según el nivel de la Cuenta Bancaria que corresponda, a fin de que la propia
Institución dé cumplimiento al citado artículo 115 de la LIC y las disposiciones que emanen
del mismo.
Las Instituciones, en la realización de las operaciones a que se refiere la presente sección,
podrán contratar con comisionistas a efecto de que éstos les presten de manera exclusiva
sus servicios, salvo por lo señalado en el inciso g) de la fracción VIII anterior. No obstante lo
anterior, las Instituciones no podrán contratar con terceros que, durante los 12 meses
inmediatos anteriores a la fecha en que surtiera efectos la respectiva comisión, se hubieren
desempeñado como comisionistas exclusivos de otra Institución.
22
Sección III
Aspectos en materia de Riesgo Tecnológico.
a) Descripción de los procesos operativos por cada una de las operaciones a contratar, la cual
deberá incluir el diagrama de flujo de la información. 1
b) Descripción técnica de los sistemas y medios electrónicos (entendiéndose como medios
electrónicos a todos los dispositivos del comisionista requeridos para la operación de la
comisión mercantil) que serán utilizados por el comisionista y la Entidad para realizar las
operaciones, desde el inicio de la operación hasta la afectación de las respectivas cuentas.2
c) El nombre de los sistemas informáticos y descripción de los controles automatizados y
mecanismos que utilizarán para evitar que los comisionistas excedan los límites de
operación, en cumplimiento a la normatividad aplicable o los que hayan establecido la
propia Entidad.
d) Diagrama de telecomunicaciones en donde se pueda identificar la interconexión existente
entre cada una de los participantes en la realización de las operaciones, el cual debe incluir
los nodos principales, mecanismo de seguridad en la transmisión de los datos, configuración
de líneas, tipo de enlaces y rutas de respaldo, servidores y dispositivos de comunicación.
Considerar todos los sitios de procesamiento de información.3
e) En caso de que alguno de los participantes procese información, mantenga bases de datos
o realice un proceso operativo; deberán avisar o solicitar autorización a esta Comisión para
contratar dicho servicio.
f) Las ubicaciones completas y detalladas de los centros de datos principal y de respaldo en
donde será almacenada y/o procesada la información de las transacciones realizadas a
través del comisionista (calle, número exterior e interior, colonia, delegación o municipio,
estado y país).
1 Incluir el tipo de procesamiento (línea, batch) para el envío de operaciones del comisionista a la Entidad, asimismo tomar en cuenta que el diagrama de flujo de información deberá contener los sistemas incluidos en el formato F-SA. 2 incluir a todos los participantes involucrados en la operación (switches, procesadores de medios de pago y transacciones). Considerar los sistemas utilizados en los procesos de conciliaciones contables, reclamaciones y generación de reportes regulatorios. 3 Incluir a todos los participantes involucrados en la operación (switches, procesadores de medios de pago y transacciones).
23
g) Para la operación de apertura de cuentas de manera remota a través de Centro de Atención
Telefónica, Internet o cualquier otro medio, la Entidad deberá validar la información del
cliente en el Registro de Población Nacional(RENAPO) o cualquier medio disponible en
forma previa a la apertura de la cuenta.
En caso de que la apertura sea en comisionistas, describir el proceso de apertura,
considerando que se solicite al usuario una identificación oficial para obtener los datos
necesarios para su apertura. Si no se pide tal identificación aplicará lo del párrafo anterior.
Incluir los mecanismos para asegurar que la Entidad contará en tiempo real con la
información relativa a los clientes o usuarios que abran estas cuentas con el comisionista,
a fin de que sean validadas en Listas Negras y de personas bloqueadas.
h) Descripción del procedimiento que la Entidad y/o el comisionista emplearán para la
validación de cheques, en caso de realizar las siguientes operaciones: pago de servicios,
depósitos, pago de créditos, pago de cheques y pago de impuestos utilizando dicho medio
de pago.4
i) En caso de realizar la operación de consulta de saldos, incluir la documentación que
compruebe que la Entidad ha realizado las pruebas suficientes para verificar que los
comisionistas cuentan con medidas para proteger la información de los clientes o usuarios
en las diferentes etapas del proceso de la operación (solicitud de la consulta, respuesta a la
solicitud del cliente, almacenamiento de la información en equipos del comisionista en cada
establecimiento, instalaciones centrales y proveedores, bitácoras de transacciones, entre
otros).
Asimismo, detallar las acciones realizadas para sustentar que los comisionistas mantienen
los controles requeridos por la Entidad para proteger la información de clientes o usuarios
que, derivado del contrato de comisión mercantil, mantienen en sus instalaciones (procesos
tales como visitas, auditorías, certificaciones, entre otros).
j) En el caso de que la Entidad pretenda realizar operaciones de aceptación de préstamos y
depósitos documentados en pagarés, a través de comisionistas casas de bolsa5:
Describir la forma en que la Entidad autorizará a las casas de bolsa para realizar tales
operaciones
4 Considerar que, en este caso, la Entidad deberá someter a autorización de la Comisión dicho procedimiento. 5 Esta operación está exceptuada del cumplimiento al Anexo 58
24
Incluir los procedimientos a través de los cuales la Entidad se asegurará de que la
casa de bolsa cumplirá con lo siguiente:
1. Recabar la información necesaria de los clientes o usuarios a fin de dar
cumplimiento con las Disposiciones de Prevención xx Xxxxxx de Dinero.
2. Clasificar la información relativa a operaciones relacionadas con operaciones
garantizadas (depósitos, préstamos y créditos).
3. Recibir y transmitir información relativa a los titulares garantizados por el IPAB y sus operaciones (clave única, nombre y domicilio, tipo de cuenta, saldo
de cuenta, personalidad jurídica física o moral-, RFC, CURP, teléfonos,
correo electrónico, número de inversión, nombre del producto, clave de
sucursal, fecha xx xxxxx, fecha de contratación, plazo de la operación, tipo de
tasa, tasa, instrumento base, sobretasa, operador aritmético utilizado para el
cálculo de la tasa, fecha de siguiente corte y saldo promedio diario del último
corte).
4. Transmitir en línea a la Entidad comitente, la información incluida en el punto
ii.
5. Monitorear, detectar, resguardar y enviar la información de operaciones
relevantes, inusuales e internas preocupantes.
6. Almacenar, actualizar y consultar información de los expedientes de
identificación de clientes o usuarios.
k) En caso de realizar operaciones de situación de fondos u órdenes de pago, en
efectivo a cuentas de otras Entidades o usuarios, según sea el caso, especificar los
procedimientos utilizados por la Entidad para transferir los recursos de la misma
forma como se efectúa en sus sucursales, e identificar en el comprobante de
operación la fecha en que quedarán acreditadas las respectivas operaciones.
l) En caso de que la información del saldo del cliente o usuario se almacene en
dispositivos tales como tarjetas de débito que cuenten con chip o equipos ubicados
en las instalaciones de los comisionistas o sus proveedores, mencionar lo siguiente:
Mecanismos implementados para garantizar la seguridad de la información
almacenada en dichos dispositivos.
Mecanismos utilizados para consolidar de manera periódica la información de
dichos dispositivos a los saldos en los sistemas centrales de la Entidad.
25
Sección IV Anexos
Anexo 57
CRITERIOS PARA EVALUAR LA EXPERIENCIA Y CAPACIDAD TÉCNICA DE LOS
COMISIONISTAS QUE OPEREN AL AMPARO DE LA SECCIÓN SEGUNDA DEL CAPÍTULO XI
DEL TÍTULO QUINTO DE LAS DISPOSICIONES
Se presumirá que los comisionistas cuentan con capacidad suficiente cuando cumplan lo
siguiente:
1. Su personal se encuentre capacitado para operar adecuadamente los Medios
Electrónicos que la Institución ponga a su disposición para autenticar a los clientes
bancarios.
2. Acrediten contar con la infraestructura necesaria para llevar a cabo el procesamiento de
las operaciones objeto del servicio bancario.
3. Sean personas xxxxxxx o personas físicas con actividad empresarial y cuenten con
establecimiento permanente, entendido éste como cualquier lugar de negocios en el que
se desarrollen, parcial o totalmente, actividades empresariales o se presten servicios
personales independientes, tales como oficinas, sucursales, agencias, u otras
instalaciones.
4. Acrediten tener un giro de negocio propio.
5. Acrediten honorabilidad e historial crediticio y de negocios satisfactorio; al efecto, se
considerará que cumplen con este requisito los comisionistas que: a) Gocen de buen historial crediticio de acuerdo con los Reportes de Información
Crediticia y se encuentren al corriente en el cumplimiento de sus obligaciones
crediticias.
b) Por sí o a través de interpósitas personas, no hayan causado quebranto,
menoscabo o detrimento patrimonial alguno, en perjuicio de instituciones de
crédito o de sociedades emisoras en el mercado de valores.
c) No hayan sido declarados en concurso civil o mercantil.
d) En su caso, no hayan sido condenados por sentencia irrevocable por delito doloso
que le imponga pena por más de un año de prisión.
e) En su caso, no hayan sido condenados por sentencia irrevocable por delitos
patrimoniales cometidos dolosamente cualquiera que haya sido la pena.
f) En su caso, no hayan estado sujetos a procedimientos de averiguación o
investigación de carácter administrativo ante la Comisión por infracciones graves
a las leyes financieras nacionales o extranjeras, o ante otras instituciones
supervisoras y reguladoras mexicanas del sistema financiero o de otros países, las
cuales hayan tenido como conclusión cualquier tipo de resolución firme y definitiva
26
o convenio en el que no se hubiere determinado expresamente la exoneración del
interesado.
Para acreditar lo señalado en los incisos b) a f) anteriores, bastará con que los comisionistas
lo manifiesten en forma expresa y bajo protesta de decir verdad, ya sea en el
correspondiente contrato de comisión mercantil o en cualquier otro documento que las
partes acuerden al efecto.
Asimismo, los requisitos señalados en el presente numeral deberán acreditarse, en su caso,
por los directores, gerentes, consejeros y funcionarios principales del comisionista de que
se trate.
Tratándose de Entidades de la Administración Pública Federal, Estatal o Municipal, bastará
con que cumplan con lo dispuesto en los numerales 1 y 2 de este Anexo y se encuentren
facultadas expresamente por su ley o reglamento, para prestar los servicios o comisiones
de que se trate.
Las Instituciones podrán eximir del cumplimiento de los requisitos señalados en los
numerales 3, y 5, inciso a), tratándose de comisionistas administrados por un
Administrador de Comisionistas, bastando para ello que el citado Administrador de
Comisionistas dé cumplimiento a todos los requisitos previstos por el presente anexo.
00
x Xxxxx 00
a) Especificar si las operaciones realizadas por los clientes o usuarios a través de
comisionistas se afectarán en línea, tomando en cuenta lo siguiente6:
Actualización de los saldos de las cuentas (no es obligatorio para el pago de
créditos, en cuyo caso deben especificar en el comprobante, el plazo en el
que quedará acreditado dicho pago). Registro de un cargo o abono a la cuenta que el comisionista tiene con la
Entidad, para los procesos de conciliación y liquidación, dependiendo del tipo
de la operación realizada.
b) Descripción de los controles utilizados por la Entidad para asegurar que únicamente
los medios electrónicos de los comisionistas debidamente autorizados por la
Entidad, serán los únicos que tendrán acceso a la infraestructura de la misma (uso
de líneas dedicadas, identificación de direcciones físicas o lógicas, VPNs, firmas
digitales, entre otros).
c) Descripción de los mecanismos mediante los cuales la Entidad:
Certificará la instalación y uso de los medios electrónicos del comisionista.
Realizará revisiones periódicas a los medios electrónicos del comisionista.
Revisará los controles que eviten la lectura y extracción de información de
clientes o usuarios por terceros no autorizados, incluyendo la leída en bandas
magnéticas o chips de tarjetas.
d) Incluir el texto íntegro de las políticas y procedimientos aplicables a los
comisionistas para los siguientes aspectos:
Administración de usuarios.
Capacitación a los comisionistas sobre el uso de los medios electrónicos.
Configuración de los medios electrónicos (redes, computadoras y
periféricos).
Procedimientos de administración de llaves criptográficas.
e) Descripción de los mecanismos de cifrado de información sensible de clientes o
usuarios (nombres, domicilios, teléfonos o direcciones de correo electrónico, en
conjunto con números de tarjetas, números de cuenta, límites de crédito, saldos,
identificadores de usuarios o información de autenticación) utilizados para
6 Si existe un medio de liquidación y/o compensación diferente a lo descrito deberán solicitar autorización de la Comisión.
28
transmitir dicha información desde el punto de atención al cliente o usuario hasta la
infraestructura central de la Entidad.
f) Descripción de las características de los registros electrónicos (bitácoras) de las
operaciones realizadas por los comisionistas, que incluyan al menos:
La fecha, hora y minuto, el tipo y monto de la instrucción, el número de
cuenta del cliente o usuario, ubicación física de la ventanilla o medio a través
del cual se ejecutó la instrucción, así como la información suficiente que
permita la identificación del personal que realizó la instrucción
Incluir la descripción de los controles implementados para impedir la alteración de
los registros electrónicos.
Especificar si la custodia de registros estará a cargo de la Entidad (dicha custodia
puede ser sujeta a contratación con un tercero que puede ser el propio
comisionista), si es el caso, verificar que estos servicios estén incluidos en el
contrato de comisión mercantil.
Incluir los procedimientos que se llevarán a cabo para que la Entidad pueda solicitar,
consultar y/o extraer el archivo con los registros de las operaciones realizadas que
custodiará el comisionista.
g) Descripción del proceso para identificar y autenticar a los Operadores del
comisionista en los medios electrónicos.
h) Indicar los Factores de Autenticación que utilizarán los Operadores para la recepción
y operación de transacciones solicitadas por los clientes o usuarios a través de los
medios electrónicos de los comisionistas.
i) Descripción de los mecanismos de bloqueo automático de Factores de
Autenticación incluidos en los sistemas, tanto para clientes o usuarios como para
Operadores, considerando que éstos no excedan de cinco ocasiones consecutivas.
j) Descripción del proceso que llevarán a cabo para el desbloqueo de Factores de
Autenticación de los operadores del comisionista.
k) Descripción del proceso de generación y entrega de los Factores de Autenticación
utilizados por los operadores de los comisionistas, que en su caso apliquen.
29
l) Descripción de las características para la composición de Contraseñas o Claves de
Acceso de Operadores (para ingresar al sistema) y Números de Identificación
Personal (NIP) de clientes o usuarios (para retiros y consulta de saldos).
m) Descripción de los controles utilizados para la protección de Contraseñas o Claves
de Acceso de Operadores y Números de Identificación Personal de clientes o
usuarios, considerando:
Se impida su lectura al momento de su captura y no se despliegue en la
pantalla del medio electrónico
Se valide y almacene en forma cifrada
n) Señalar la responsabilidad de la Entidad para la administración de las llaves
criptográficas, en su caso.
o) Descripción del proceso de autenticación de los clientes o usuarios para realizar
consultas u operaciones que representen un cargo a su cuenta, considerando lo
siguiente7:
El uso de dos Factores de Autenticación (FA) como:
Tarjetas de débito o crédito con banda magnética y/o CHIP;
NIPs;
Factor Biométrico; y/o
Teléfono Celular.
PIN PADs con una pantalla y teclado exclusivos para que el cliente o usuario
xxxxxxx su NIP, así como mecanismos que impidan su lectura.
Mecanismos de cifrado, cuando el NIP sea ingresado en un teléfono celular y
se almacene en el mismo.
Mecanismos de seguridad que impidan la duplicación del FA cuando se
utilicen teléfonos celulares como medio de autenticación para los clientes o
usuarios. Asimismo, evidencia para verificar que la tecnología de dichos
teléfonos permite funcionar como FA. Especificaciones técnicas de lectores biométricos que aseguren que es el
cliente o usuario quien realiza la operación, en caso de utilizarse como FA,
detallando el proceso de administración y control de la información generada
por dichos dispositivos.
p) Indicar los controles que evitarán que los comisionistas puedan realizar retiros o
consultas de saldos de clientes o usuarios sin la debida autenticación de éstos
últimos.
7 Considerar que no se debe utilizar la combinación de una tarjeta y un teléfono celular como Factores de Autenticación de clientes o usuarios.
30
Descripción de la forma en la que la Entidad validará que los comisionistas guarden
la debida confidencialidad de la información de los clientes o usuarios y sus
operaciones, especialmente la que se obtiene al deslizar o insertar las tarjetas
(incluyendo la información que se almacena y transmite en equipos y redes del
comercio).
q) Descripción de los controles implementados en los sistemas de los comisionistas o de la Entidad para validar la cuenta destino previo a la ejecución de las operaciones
(longitud, composición, digito verificador, que el BIN corresponda al emisor,
distinción de TDC, TDD, cuenta de cheques o ahorro, cuenta concentradora, celular
asociado a una cuenta y/o número de referencia asociados al tipo de servicio).
r) Incluir las características de los comprobantes de operación, los cuales deberán
considerar al menos lo siguiente8:
Generación en forma automática (sin intervención del comisionista).
Deberán ser diferentes a los utilizados por el comisionista en su giro
comercial.
No imprimir el número completo de la cuenta.
No permitir la generación de duplicados en las consultas de movimientos y/o
saldos.
Identificación de la Entidad y del comisionista, precisando el domicilio del
comisionista a través del cual se ejecutó la instrucción.
Identificación de los medios de disposición utilizados.
Identificación del empleado del comisionista (Operador).
En caso de exceder los límites establecidos en la normatividad para retiros
(1,000 UDIS) y depósitos (10,000 UDIS mensuales para SOCAPS; y 4,000
UDIS diarios para Instituciones de Crédito y SOCAPS), imprimir las leyendas
or haber excedido su límite
No imprimir el domicilio del cliente.
s) Descripción de las herramientas utilizadas por la Entidad para el monitoreo de las
operaciones realizadas por los Operadores de los comisionistas para prevenir
operaciones irregulares.
t) Especificar la información que, en su caso, será almacenada en los medios
electrónicos del comisionista por razones operativas o técnicas y los controles de
acceso a dicha información.
8 Adjuntar el diseño de comprobante de cada una de las operaciones a contratar
31
u) Detallar los mecanismos de cifrado utilizados para almacenar la Información
Sensible de clientes o usuarios de forma segura en los medios electrónicos, a que
hace referencia el punto anterior, considerando lo siguiente:
La administración de las llaves criptográficas será responsabilidad de la
Entidad.
La Información derivada del uso de tarjetas asociadas a Cuentas nivel 1 o
Cuentas nivel 2 puede almacenarse sin mecanismos de cifrado si no contiene nombres y domicilios.
v) Descripción del proceso que llevará a cabo la Entidad para la gestión de aclaraciones
y quejas de los clientes o usuarios respecto de las operaciones realizadas a través
de los comisionistas (áreas responsables, sistemas o herramientas utilizados, entre
otros).
Especificar el nombre de la base de datos, e identificar si será administrada y
controlada en todo momento por la Entidad.
32
Anexo Formato F-SA
Formato de Información de Sistemas Aplicativos (F-SA)
Instrucciones: las letras en rojo deben ser eliminadas una vez documentado el formato, las instrucciones que
aparecen en el pie de la tabla están referenciadas con numerales en cada título de columna, por lo que para su
eliminación se debe eliminar el numeral correspondiente.
Nombre del Sistema(1)
Procesos que soporta(2)
Nombre de
Equipo donde
se procesa(
3)
Modelo del
equipo(4)
Sistema Operativ
o(5)
Lenguaj e de
Program ación(6)
Base de datos(7)
Mes/Añ o inicio
de operació
n(8)
Proveed or(9)
Procesa miento
(Propio/ Terceros
)(10)
Lugar de Procesa
miento(11 )
Ejemplo 1: Nombre de Sistema
<Captación, Colocación, Ventanilla, etc. >
<SRVCORE 1>
<IBM i 7.2>
<UNIX> <Visual Basic 6.0>
<Oracle> <Junio/20 02>
<Proveed or4, S.A de C.V. >
<Terceros >
<Centro de
cómputo principal Xxxxxx, S.A. de
C.V. México,
D.F Xx. Xxx
Xxxxx 000 Xxx. Xxx Xxxxx, XX 00000x
Ejemplo 2: Nombre de Sistema
<Banca Móvil> <SOCPRO D2>
<AS400 i series>
<OS400> <RPG II> <DB2> <Enero/20 12>
<Proveed or4, S.A de C.V. >
<Terceros >
<Centro de
cómputo principal,
IBM Xxxxx,
Xxxxxxx. >
Ejemplo 3: Nombre de Sistema
<Aclaraciones> <CNBVPR OD2>
<HP 9000 rp2430>
<HP-UX 11.0>
<JAVA 1.1>
<SQL server 2008>
<Abril/201 0>
<Desarroll o interno>
<Propio>
<Centro de
cómputo principal México,
X.X Xxxxxxx Xxxxxxx Xxxxxxx
00, Xxxxxx Xxxx
Xxx. Xxxx Xxxxxx
Xxxxx Xx, XX 00000.
>
33
(1) Nombre del sistema: capturar el nombre con el que se identifique el sistema al interior de la Entidad o de forma comercial. (2) Procesos que soporta: describir el(los) proceso(s) de negocio que soporta el sistema. (3) Nombre del equipo donde se procesa: capturar el nombre con el que se identifique el servidor al interior de la Entidad (esta información podrá utilizarse para
realizar pruebas de seguridad a equipos específicos de acuerdo al sistema y proceso de negocio que soporta). (4) Modelo del equipo: capturar el nombre del modelo y marca del servidor (equipo) donde se procesa la información. (5) Sistema operativo: capturar el nombre del sistema operativo del equipo en el que se procesa el sistema, incluyendo la versión. (6) Lenguaje de programación: indicar el(los) lenguaje(s) de programación del sistema, incluyendo versión. (7) Base de datos: se refiere a la base de datos donde se almacena la información procesada por el aplicativo. (8) Mes/año inicio de operación: mencionar el mes y año en el que la aplicación fue liberada a producción. (9) Proveedor: enunciar el nombre del proveedor que realizó el desarrollo. En caso de ser un desarrollo interno indicar: “desarrollo interno”; en caso de ser un
desarrollo externo, incluir la razón social del proveedor del sistema. (10) Procesamiento (propio o terceros): describir la forma en la que se procesa la información del sistema identificando si es procesado por la Entidad o por un
tercero. Se deben considerar las siguientes opciones para responder esta columna: a) Propio: se refiere a que la Entidad procesa la información en sus equipos de cómputo. b) Terceros: indicar el nombre del proveedor que procesa la información.
(11) Lugar de procesamiento: se refiere a la ubicación del centro de cómputo (principal y alterno) en el que resida el equipo donde se procesa la información. Se debe indicar la razón social del proveedor del centro de cómputo (si aplica), el nombre del centro de cómputo como se conoce al interior de la Entidad o de forma comercial y la dirección completa en el que se encuentra el centro de cómputo (calle, número, colonia, delegación o municipio, estado, código postal) cuando sea nacional, y la ciudad/estado/país cuando se encuentre en el extranjero.