RESOLUCIÓN que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.
La Comisión Nacional Bancaria y de Valores, con fundamento en lo dispuesto por los artículos 52, antepenúltimo párrafo; 96 Bis, primer párrafo y 98, segundo párrafo de la Ley de Instituciones de Crédito, así como 4, fracciones II, XXXVI y XXXVIII y 16, fracción I de la Ley de la Comisión Nacional Bancaria y de Valores, y
CONSIDERANDO
Que, en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de reducir el costo de cumplimiento de las presentes disposiciones, la Comisión Nacional Bancaria y de Valores, mediante resolución publicada en el Diario Oficial de la Federación el 26 de diciembre de 2017, modificó las "Disposiciones de carácter general aplicables a las instituciones de crédito", con el propósito de flexibilizar el plazo al que estaban sujetas las instituciones de banca múltiple para constituir sus requerimientos de capital por riesgo operacional;
Que, con el fin de coadyuvar a prevenir, inhibir, mitigar y, en su caso, detectar alguna conducta ilícita que tuviera como fin la suplantación de identidad, resulta fundamental fortalecer el marco normativo que habrán de observar las instituciones de crédito para la verificación de la identidad de sus clientes y solicitantes en la celebración de contratos para apertura de cuentas bancarias nivel 4, así como para créditos al consumo y comerciales, particularmente de manera remota; al efecto, además de hacerse extensivo a personas morales, el marco regulatorio robustece los requisitos de carácter biométrico a observar en el procedimiento que se sigue para la verificación de identidad y la captura de documentos de identificación, incluyendo los provenientes de registros de autoridades mexicanas;
Que, en aras de la seguridad y certeza jurídica para clientes y solicitantes, se refuerzan los procedimientos de aprobación de los mecanismos de identificación no presencial seguidos ante la Comisión Nacional Bancaria y de Valores, al preverse requerimientos técnicos acordes con los estándares internacionales y el uso de tecnologías diversas de identificación, que deberán observar tanto las propias instituciones de crédito como los prestadores de servicios que les auxiliarán en su labor, ello, a su vez, robustece el sistema de control de interno de esas entidades financieras, y
Que, como resultado de lo señalado en el segundo y tercer párrafo anteriores, se favorecerá la inclusión financiera y el acceso a servicios y productos bancarios de una forma sencilla, rápida y a distancia; ha resuelto expedir la siguiente:
RESOLUCIÓN QUE MODIFICA LAS DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS
INSTITUCIONES DE CRÉDITO
ÚNICO.- Se REFORMAN los Artículos 51 Bis 2; 51 Bis 6; 5i Bis 7, primer párrafo; 51 Bis 8; 51 Bis 9 y 51 Bis 10, segundo párrafo, y SE ADICIONA el Artículo 51 Bis 14 de las "Disposiciones de carácter general aplicables a las instituciones de crédito", publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005 y modificada por última vez mediante Resolución publicada en dicho medio de difusión el 21 de agosto de 2020, para quedar como sigue:
"Artículo 51 Bis 2.- Las Instituciones podrán conformar una base de datos de información biométrica de sus clientes apegándose al Anexo 71 de las presentes disposiciones, a fin de utilizarla para la verificación de su identidad, en sustitución de lo requerido por los Artículos 51 Bis, para celebrar contratos de operaciones activas, pasivas o de servicios, o bien, solicitar medios de pago y 51 Bis 1, para la realización de retiros de efectivo y de transferencias de recursos, salvo los que se realicen con cargo a Cuentas Bancarias Niveles 1 y 2. Lo anterior, siempre que las Instituciones realicen la verificación de la coincidencia de la información biométrica del cliente con los registros biométricos del Instituto Nacional Electoral o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica similar al de dicho instituto.
Para efectos de la verificación de la identidad de sus clientes prevista en el párrafo anterior, las Instituciones deberán sujetarse a lo siguiente:
I. Requerir a la persona cuyos datos se almacenarán en la referida base, su credencial para votar expedida por el Instituto Nacional Electoral o identificación expedida por alguna otra autoridad mexicana, cuyos datos biométricos puedan verificarse con alguna autoridad mexicana que provea
un servicio de verificación de información biométrica.
II. Hacer primeramente la captura de la información biométrica de sus empleados, directivos o funcionarios que tendrán a su cargo recopilar las de los clientes. Una vez concluida esta captura, recopilarán las de sus clientes. En ambos casos, las Instituciones deberán cumplir con los requerimientos técnicos establecidos en el Anexo 71 de las presentes disposiciones.
III. Tratándose de huellas dactilares, efectuar las acciones de verificación indicadas en la fracción I del Artículo 51 Bis 4 de estas disposiciones; o bien, tratándose de datos biométricos distintos a huellas dactilares, verificar que estos coinciden con los registros biométricos en posesión de alguna autoridad mexicana; en ambos casos, las Instituciones deberán observar en todo momento que se cumplan, al menos, los requerimientos del Anexo 71 de las presentes disposiciones. Asimismo, deberán corroborar la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población y que los datos proporcionados por el cliente coinciden con los de dicho registro."
"Artículo 51 Bis 6.- Las Instituciones, para efectos de la identificación de sus clientes o solicitantes que sean personas físicas o personas morales, ambos de nacionalidad mexicana, en la celebración no presencial de contratos para la apertura de Cuentas Bancarias Nivel 4, créditos al consumo para clientes o solicitantes que sean personas físicas y créditos comerciales para clientes o solicitantes que sean personas físicas con actividad empresarial o personas morales, deberán ajustarse a lo dispuesto por el presente Apartado B.
Para efectos de las contrataciones a que se refiere el párrafo anterior, las Instituciones deberán verificar la coincidencia de la información biométrica del cliente o solicitante, según corresponda, con los registros del Instituto Nacional Electoral o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica similar al de dicho instituto o con aquellas bases de datos biométricos que hayan desarrollado las propias Instituciones de conformidad con lo previsto en los Artículos 51 Bis 2 y 51 Bis 3 de las presentes disposiciones.
En caso de que la información biométrica a que se refiere el párrafo anterior sean las huellas dactilares del cliente o solicitante, las Instituciones deberán asegurarse que las aplicaciones o medios de que dispongan aseguren que la huella dactilar se obtenga directamente del cliente o solicitante, es decir, una prueba de huella viva, evitando el registro de huellas provenientes de impresiones en algún material que pretenda simular la huella de otra persona o de imágenes que persigan tal fin, y contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de dichas aplicaciones o medios no sea conocida ni utilizada por terceros no autorizados, así como autenticar que la huella dactilar que se obtenga del cliente o solicitante que presenta la credencial para votar coincida, al menos, en un noventa y ocho por ciento con los registros de las bases de datos de las autoridades mexicanas.
Para efectos de lo establecido en el presente Apartado B, las Instituciones deberán:
I. Obtener la previa aprobación de la Comisión.
II. Requerir al solicitante que declare si ya es cliente de la Institución. En caso de que la declaratoria sea afirmativa, la Institución deberá observar lo previsto en la fracción IV del presente artículo. Con independencia de la declaratoria del solicitante, la Institución deberá completar su expediente de acuerdo con el producto que pretenda contratar, así como, en su caso, observar las obligaciones de actualización de expedientes de identificación en términos de lo previsto en la 4ª de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, emitidas por la Secretaría o las que las sustituyan.
III. Requerir al solicitante que haya declarado no ser cliente de la Institución, el envío de un formulario a través del medio electrónico que la Institución establezca al efecto, en el cual se deberán incluir, al menos, los datos de identificación señalados en la 4ª y 4ª Ter de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, emitidas por la Secretaría o las que las sustituyan, así como la especificación del producto que se pretenda contratar de los previstos en el primer párrafo del presente artículo.
El formulario mencionado deberá incluir una manifestación que señale que su envío a la Institución de que se trate constituye la aceptación del solicitante para que su voz, imagen o, en su caso, ambas sean grabadas en los mecanismos tecnológicos a que se refiere la fracción VII del presente artículo. Dicha manifestación podrá realizarse a través de herramientas automatizadas que permitan su grabación y posterior reproducción.
La aceptación a que se refiere el párrafo anterior deberá obtenerse en términos de la Ley Federal para la Protección de Datos Personales en Posesión de los Particulares o la que la sustituya.
IV. En caso de que el solicitante declare ser cliente de la Institución, esta deberá verificar los datos que ella misma determine con el fin de corroborar contra sus propios registros que, en efecto, se trata de un cliente, y en caso de que así sea, la Institución deberá autenticarlo con un Factor de Autenticación Categoría 3 y, posteriormente, realizar la verificación a que se refiere el segundo párrafo de este artículo.
En caso de que la verificación a que se refiere el párrafo anterior sea exitosa, la Institución podrá proceder a la contratación de los productos previstos en el primer párrafo del presente artículo, sin necesidad de llevar a cabo lo establecido en las fracciones V a VIII siguientes.
Cuando la verificación a la que se refiere la presente fracción no resulte exitosa, la Institución deberá observar lo previsto en las fracciones III, V, VI, VII y VIII de este artículo.
V. Si la Institución corrobora que el solicitante no es su cliente, conjuntamente con el formulario a que se refiere la fracción III del presente artículo, deberá requerir al solicitante el envío de una fotografía a color de su credencial para votar vigente expedida por el Instituto Nacional Electoral, por el anverso y el reverso, y validar los elementos de seguridad de dicha credencial, a fin de detectar si dicho documento no presenta alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello.
Adicionalmente, la Institución deberá confirmar la existencia de la Clave Única de Registro de Población que proporcione el solicitante con el Registro Nacional de Población, así como que los datos de esta y los enviados en el formulario a que se refiere la fracción III de este artículo coinciden entre sí.
Tratándose de la credencial para votar expedida por el Instituto Nacional Electoral, las Instituciones deberán verificar la coincidencia de los datos que a continuación se listan, con los registros del propio instituto:
a) El Código Identificador de Credencial (CIC) que se encuentra impreso en la credencial para votar, o en su caso, el Reconocimiento Óptico de Caracteres (Optical Character Recognition).
b) Año de registro.
c) Clave de elector.
d) Número y año de emisión.
Las Instituciones deberán verificar que los apellidos paternos, maternos y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población.
Las Instituciones deberán requerir al solicitante que envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto en las presentes disposiciones, así como en la 4ª y 4ª Ter de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, emitidas por la Secretaría o las que las sustituyan.
VI. Informar al solicitante el procedimiento que se seguirá en los mecanismos tecnológicos a que se refiere la fracción VII del presente artículo y cuáles son los accesos a los medios para su realización, así como entregar un código de un solo uso, el cual será requerido al solicitante previamente a lo establecido en la referida fracción.
VII. Implementar mecanismos tecnológicos que permitan identificar al solicitante mediante una grabación, la cual deberá ser conservada sin ediciones en su total duración por un periodo de, al menos, 10 años. Para efectos de la mencionada identificación, adicionalmente, las Instituciones deberán observar lo siguiente:
a) Registrar la hora y fecha de su realización obtenidas de un servidor de tiempo protegido.
b) Implementar los mecanismos tecnológicos a que se refiere el primer párrafo de la presente fracción a través de herramientas automatizadas que permitan su grabación y posterior reproducción. Adicionalmente, las Instituciones deberán verificar que la calidad de la imagen y, en su caso, la del sonido permiten la plena identificación del solicitante, según los parámetros que establezcan las propias Instituciones para tal efecto.
c) Requerir al solicitante que muestre su credencial para votar expedida por el Instituto Nacional
Electoral, tanto por el lado anverso como por el reverso, confirmando mediante herramientas automatizadas que esta contenga los mismos datos y fotografía de la credencial que envió junto con el formulario.
d) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del solicitante, con el nivel de fiabilidad establecido en la fracción VII del Artículo 51 Bis 9 de estas disposiciones, asegurándose de que exista coincidencia entre su rostro y el de la credencial para votar recibida.
e) Realizar una prueba de vida al solicitante durante la implementación de los mecanismos tecnológicos a que se refiere la presente fracción. Para efectos de lo anterior, se entenderá como prueba de vida a las pruebas técnicas realizadas por las Instituciones con base en algoritmos, para medir y analizar las características anatómicas o reacciones voluntarias e involuntarias del solicitante, a efecto de determinar si una muestra biométrica está siendo capturada de un sujeto con vida presente en el punto de captura.
VIII. Suspender el proceso de contratación con el solicitante cuando se presente cualquiera de los casos siguientes:
a) La imagen y, en su caso, la calidad del sonido, no permitan realizar una identificación plena del solicitante.
b) El solicitante no presente su credencial para votar, los datos obtenidos de esta no coincidan con los registros del Instituto Nacional Electoral, o bien, el resultado de la validación de los elementos de la mencionada credencial o de las verificaciones biométricas del solicitante a que se refiere el presente artículo no alcancen la efectividad o nivel de fiabilidad a que hace referencia la fracción VII del Artículo 51 Bis 9 de las presentes disposiciones.
c) La Clave Única de Registro de Población no coincida con la información del Registro Nacional de Población.
d) El código de un solo uso requerido al solicitante no sea confirmado por este.
e) Se presenten situaciones atípicas o riesgosas, o bien, la Institución tenga dudas acerca de la autenticidad de la credencial para votar o de la identidad del solicitante.
En caso de suspensión del proceso de contratación por las causas mencionadas en los incisos anteriores, las Instituciones deberán almacenar la información y documentación obtenida, por lo menos, durante 30 días naturales, con el objetivo de que, en caso de retomar los procesos de contratación, se corrobore que la información sea consistente. Adicionalmente, la mencionada información y documentación deberá ser utilizada por las Instituciones en sus controles para prevenir fraudes.
Para el caso de solicitantes o clientes que sean personas morales, para efectos de la identificación de sus apoderados o representantes legales, las Instituciones deberán observar los mismos procedimientos señalados en el presente artículo, con la salvedad de que, para el caso de solicitantes, el envío del formulario a que se refiere la fracción III de este artículo deberá hacerse mediante archivo firmado con la Firma Electrónica Avanzada o Fiable de la persona moral de que se trate.
Cuando el Instituto Nacional Electoral no pueda responder a las solicitudes de verificación de información biométrica a que alude el presente artículo por causas imputables a dicho instituto, las Instituciones podrán efectuar una comunicación con el cliente o solicitante a través de un medio audiovisual, utilizando herramientas automatizadas que permitan su grabación y posterior reproducción, y conforme a las guías de diálogo aleatorias que establezcan las propias Instituciones. Asimismo, la comunicación deberá tener una duración de, al menos, 30 segundos continuos y sin interrupción, así como ser grabada colocando el dispositivo de manera horizontal, así como ser conservada sin ediciones en su total duración por un periodo mínimo de 10 años.
Durante la comunicación a que se refiere el párrafo anterior, las Instituciones deberán observar, además, lo siguiente:
I. Registrar la hora y fecha de la realización de la comunicación.
II. Verificar que la calidad de la imagen y del sonido permitan la plena identificación del solicitante o cliente, según los parámetros que establezcan las propias Instituciones para tal efecto.
III. Requerir al solicitante o cliente que muestre su credencial para votar expedida por el Instituto Nacional Electoral, tanto por el anverso como por el reverso, confirmando mediante herramientas automatizadas que esta contenga los mismos datos y fotografía de la credencial que envió junto con el formulario.
IV. Utilizar tecnología especializada que les permita lograr una identificación fehaciente del solicitante o cliente con el nivel de fiabilidad establecido en la fracción VII del Artículo 51 Bis 9 de estas disposiciones, asegurándose que exista coincidencia entre su rostro y el de la credencial para votar recibida.
V. Identificar, a través de herramientas automatizadas, patrones de conducta sospechosos que pudieran indicar que el solicitante o cliente que está realizando la comunicación no es la persona que dice ser.
VI. Realizar una prueba de vida al solicitante o cliente durante la comunicación. Se entenderá como prueba de vida lo establecido en el inciso e) de la fracción VII del cuarto párrafo de este artículo.
Las Instituciones que se ajusten a lo establecido en el sexto párrafo del presente artículo, únicamente podrán llevar a cabo la apertura de Cuentas Bancarias Nivel 4, en las que la suma de los abonos en el transcurso de un mes calendario no exceda del equivalente en moneda nacional a 30,000 UDIs, y en el caso de créditos al consumo para clientes o solicitantes que sean personas físicas y de créditos comerciales para clientes o solicitantes que sean personas físicas con actividad empresarial o personas morales, estos únicamente podrán otorgarse hasta por el equivalente en moneda nacional a 60,000 UDIs.
Artículo 51 Bis 7.- Las Instituciones deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos de identificación a que se refiere el Artículo 51 Bis 6 y, en su caso, el Artículo 51 Bis 8 de las presentes disposiciones, los cuales garanticen la integridad de dicha información, así como la correcta lectura de los datos y la imposibilidad de su manipulación, al igual que su adecuada seguridad, conservación y localización.
. . .
Artículo 51 Bis 8.- La Comisión podrá aprobar mecanismos distintos a los previstos en el Artículo 51 Bis 6 de las presentes disposiciones para identificar a solicitantes o clientes, así como para verificar documentos de identificación diferentes a los referidos en dicho artículo, siempre que las Instituciones cumplan, al menos, con lo siguiente:
I. Incluir un elemento de validación de información biométrica contra los registros de alguna autoridad mexicana con una coincidencia mínima del noventa y ocho por ciento, así como prever mecanismos alternos de identificación, en caso de que la validación biométrica no se encuentre disponible en ese momento, pudiendo utilizar el mecanismo previsto en los párrafos sexto, séptimo y octavo del Artículo 51 Bis 6 de las presentes disposiciones.
II. Requerir al solicitante o cliente que presente su identificación oficial con fotografía expedida por alguna autoridad mexicana, tanto por el anverso como por el reverso.
III. En el caso de solicitantes, verificar los elementos de seguridad de la identificación oficial con fotografía que se presenten para aprobación, y corroborar los datos o información contenida en dicha identificación contra los registros de la autoridad que la haya emitido considerando, cuando menos, el nombre completo y alguna otra clave o código que se incluya en la identificación.
IV. Corroborar los datos de la Clave Única de Registro de Población con el Registro Nacional de Población.
V. Realizar una prueba de vida, entendiéndose como tal lo establecido en el inciso e) de la fracción VII del cuarto párrafo del Artículo 51 Bis 6 de las presentes disposiciones.
Artículo 51 Bis 9.- Las Instituciones, al solicitar las aprobaciones a que se refieren los Artículos 51 Bis 6 y, en su caso, 51 Bis 8, deberán presentar lo siguiente:
I. Descripción detallada de la Infraestructura Tecnológica utilizada en cada parte del proceso de identificación no presencial, especificando la función de cada componente de dicha infraestructura. Asimismo, las Instituciones deberán incluir a todos los proveedores de tecnología que intervienen en la Infraestructura Tecnológica y, en su caso, las aplicaciones principales utilizadas para el referido proceso y su interrelación.
II. Descripción de los medios electrónicos utilizados para que los solicitantes envíen, en su caso, el formulario y documentos por un canal seguro considerando, al menos, el tipo de transmisión del dispositivo hacia el nodo que recibe la información del formulario, tales como Hyper Text Transfer Protocol Secure o Transport Layer Security versión 1.2 o superior.
III. Nombre del prestador de servicios de certificación autorizado por la Secretaría de Economía utilizado, en su caso, para la conservación de la versión digital de la credencial para votar expedida por el Instituto Nacional Electoral o cualquier otra identificación oficial con fotografía, conforme a la
Norma Oficial Mexicana sobre digitalización y conservación de mensajes de datos aplicable.
IV. Diagrama de red que muestre todos los componentes de la Infraestructura Tecnológica que forman parte del proceso de identificación no presencial, incluyendo la segregación de redes de comunicaciones y equipos de seguridad perimetral, considerando esquemas de redundancia.
V. Información detallada sobre si las imágenes de identificaciones oficiales, grabaciones e información biométrica se mantendrán en instalaciones de proveedores de servicios o de la propia Institución, describiendo los controles para la gestión de acceso y mecanismos para su almacenamiento.
VI. Evidencia de que los medios de verificación de los documentos de identificación de los clientes o solicitantes tiene la efectividad aprobada por el comité de riesgos de la Institución de que se trate.
VII. En su caso, evidencia de que los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen, tengan el nivel de fiabilidad determinado por el comité de riesgos de la Institución de que se trate.
VIII. En su caso, información detallada sobre las pruebas de calibración a los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen. Dichas pruebas deberán ser realizadas conforme a los umbrales establecidos por la Institución, los cuales habrán de contemplar los resultados de estas pruebas y los ajustes del motor de validación derivado de ellos. Las Instituciones deberán acompañar a su solicitud de aprobación evidencias de todo lo anterior.
IX. En su caso, los estándares de calidad de la imagen y sonido que se utilizarán para efectuar la comunicación a que se refieren los párrafos sexto, séptimo y octavo del Artículo 51 Bis 6 de las presentes disposiciones.
X. En su caso, la descripción técnica de los Factores de Autenticación que se requerirán para corroborar que un solicitante es cliente de la Institución, conforme a lo previsto en el Artículo 51 Bis 6 de las presentes disposiciones, así como las características del código de un solo uso.
XI. Mecanismos a través de los cuales transmitirán y resguardarán de manera segura la información, datos y documentos generados en el procedimiento de identificación no presencial.
XII. Mecanismos utilizados para garantizar la integridad, correcta lectura, imposibilidad de manipulación y adecuada seguridad, conservación y localización de la información, datos y documentos a que se refiere el presente Apartado B.
XIII. Mecanismos de cifrado en los canales de comunicación utilizados en el proceso de identificación no presencial, indicando la información que será transmitida por cada uno de dichos canales.
XIV. Mecanismos utilizados para la gestión de accesos a los sistemas, así como las políticas para la gestión de accesos, en las que se incluya el uso de contraseñas robustas.
XV. Políticas y procedimientos de gestión de Incidentes de Seguridad de la Información.
XVI. Mecanismos o herramientas utilizadas para el monitoreo y bloqueo de contrataciones que presenten las situaciones descritas en el inciso e) de la fracción VIII del cuarto párrafo del Artículo 51 Bis 6 de las presentes disposiciones.
XVII. Evidencia de haber evaluado e incorporado a la metodología a que hace referencia el Capítulo II Bis de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, emitidas por la Secretaría o las que las sustituyan, así como de los posibles riesgos derivados del lanzamiento o uso de nuevas tecnologías, servicios, países o áreas geográficas y canales de envío o distribución con los que vayan a operar.
XVIII. Proyecto del manual de cumplimiento señalado en la 64ª de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, emitidas por la Secretaría o las que las sustituyan, o algún otro documento o manual elaborado por las Instituciones en el que se desarrollen las políticas, criterios, medidas y procedimientos necesarios para llevar a cabo, al menos, lo siguiente:
a) Verificar la coincidencia en listas de personas bloqueadas, listas de personas políticamente expuestas y las demás listas con las que cuenten las Instituciones.
b) Determinar el perfil transaccional inicial y el grado de riesgo de los clientes.
c) Conexión con el o los sistemas automatizados con los que cuenten las Instituciones.
XIX. Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como pruebas de penetración en los diferentes componentes de la Infraestructura Tecnológica utilizada en el proceso, ya sea propia o de terceros. Las pruebas de penetración mencionadas deberán realizarse por un tercero independiente que cuente con personal que tenga la capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia.
Las Instituciones deberán proporcionar a la Comisión evidencia de la realización de las pruebas a las que se refieren las fracciones VIII y XIX del presente artículo, antes de implementar el esquema que se les haya autorizado de conformidad con el Artículo 51 Bis 6 de las presentes disposiciones.
Será responsabilidad de las Instituciones que contraten a terceros para almacenar, procesar y transmitir información en el proceso de contratación no presencial, la vigilancia del cumplimiento al presente artículo, al menos, una vez al año, así como la obligación de contar con la evidencia que lo sustente, la cual deberán tener a disposición de la Comisión en todo momento.
Artículo 51 Bis 10.- . . .
Para el caso de contrataciones presenciales a que se refiere el Apartado A de la presente sección, las Instituciones deberán tener registros de la fecha y domicilio de la Oficina Bancaria o, en su caso, establecimiento del comisionista en que se realizó cada contratación, incluyendo la clave de la localidad geoestadística conforme al Catálogo Único de Claves de Áreas Geoestadísticas Estatales, Municipales y Localidades del Instituto Nacional de Estadística y Geografía o el que lo sustituya, así como el nombre y clave del funcionario que otorgó la autorización de la contratación y, en su caso, del gerente o encargado de la Oficina Bancaria donde se autorizó."
"Artículo 51 Bis 14.- Los procedimientos establecidos en el Apartado B son independientes de los utilizados en las contrataciones y operaciones que las Instituciones realicen con sus clientes en términos del Capítulo X del Título Quinto de estas disposiciones."
TRANSITORIOS
PRIMERO.- La presente Resolución entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación, salvo por lo referido en los Artículos SEGUNDO y TERCERO Transitorios siguientes.
SEGUNDO.- Las instituciones de crédito que hayan obtenido la aprobación de la Comisión Nacional Bancaria y de Valores a los mecanismos de identificación no presencial en términos de los Artículos 51 Bis 6 y 51 Bis 8 vigentes hasta antes de la entrada en vigor de la presente Resolución, tendrán un plazo de nueve meses, contados a partir de la entrada en vigor de esta Resolución, para presentar a dicha Comisión una nueva solicitud de aprobación en apego al Artículo 51 Bis 6, fracción I que se reforma con el presente instrumento.
La aprobación a que se refiere el párrafo anterior continuará vigente hasta en tanto la Comisión Nacional Bancaria y de Valores resuelva sobre la solicitud de aprobación que las instituciones de crédito hayan presentado ante la propia Comisión conforme a lo indicado por el Artículo 51 Bis 6, fracción I que se reforman con esta Resolución.
TERCERO.- Las instituciones de crédito que hayan optado por implementar, con carácter temporal, la facilidad administrativa para el cumplimiento de lo previsto en el Título Segundo, Capítulo II, Sección Segunda Apartado B, así como lo indicado en el Título Quinto, Capítulo XI, Sección Tercera de las Disposiciones de carácter general aplicables a las instituciones de crédito, contenida en oficio número P321/2020 del 11 de junio de 2020 emitido por la Comisión Nacional Bancaria y de Valores, al amparo del CUARTO del ACUERDO por el que se establecen las medidas temporales y extraordinarias y se suspenden algunos plazos para la atención de las entidades financieras y personas sujetas a supervisión de la Comisión Nacional Bancaria y de Valores, a causa del coronavirus denominado COVID-19, publicado en el Diario Oficial de la Federación el 26 de marzo de 2020, podrán continuar aplicándola por el plazo que la Comisión Nacional Bancaria y de Valores les dé a conocer mediante oficio contado a partir de la entrada en vigor de la presente Resolución, para dar cumplimiento al Artículo 51 Bis 7, al igual que para presentar ante la propia Comisión una nueva solicitud de aprobación en apego a los Artículos 51 Bis 6, cuarto párrafo, fracción I; 51 Bis 8, y 51 Bis 9, los cuales se reforman con el presente instrumento.
Lo anterior, es sin perjuicio de que dicha Comisión pueda modificar las referidas facilidades administrativas, por virtud de la entrada en vigor de la presente Resolución.
Atentamente
Ciudad de México, a 5 de octubre de 2020.- El Presidente de la Comisión Nacional Bancaria y de Valores, Juan Pablo Graf Noriega.- Rúbrica.