Circular 1/2006 emitida por el Banco de México - Bansefi

147.(2)Las Instituciones deberán comunicar a los Usuarios los riesgos inherentes a la utilización de los MediosElectrónicos y las recomendaciones para prevenir la realización de operaciones irregulares o ilegales.(2) Sección SegundaDe la seguridad, confidencialidad e integridad de la información transmitida, almacenadao procesada a través de Medios Electrónicos(2) Artículo 307.- Las Instituciones que convengan la celebración de sus operaciones y la prestación de serviciosbancarios con el público, mediante el uso de Medios Electrónicos, deberán contar con medidas de seguridad paraque la información transmitida, almacenada o procesada a través de dichos medios únicamente pueda ser accedidapor parte de los Usuarios, así como por aquellas personas expresamente autorizadas por la propia Institución enfunción de las actividades que realizan.(2) Artículo 308.- Las Instituciones, en la utilización de Medios Electrónicos, para celebrar operaciones con el públicoy proporcionar servicios, deberán ajustarse a lo siguiente:(2) I. Cifrar el mensaje o utilizar medios de comunicación Cifrada, aplicando como mínimo el tipo de Cifrado de 128bits, para la transmisión de información cuando el Medio Electrónico utilizado para llevar a cabo consultas,Operaciones Monetarias y cualquier otro tipo de transacción bancaria, entre la Institución y sus clientes, sea lared electrónica mundial denominada Internet.Para los demás Medios Electrónicos, las Instituciones deberán contar con mecanismos de seguridadtendientes a evitar que terceros no autorizados puedan acceder o hacer mal uso de la información transmitida.(2) II. Establecer mecanismos para el proceso de generación y entrega de Contraseñas o Claves de Acceso, queaseguren que sólo el Usuario podrá activarlos. Adicionalmente, deberán realizarse las acciones necesariaspara que los Usuarios no utilicen como Contraseña o Clave de Acceso:(2) a) El Identificador de Usuario.(2) b) El nombre de la Institución.(2) c) Más de dos caracteres idénticos en forma consecutiva.(2) d) Más de dos consecutivos numéricos o alfabéticos.(2) La longitud de las Contraseñas o Claves de Acceso deberá ser de al menos seis caracteres cuando losmedios utilizados sean la red electrónica mundial denominada Internet o el teléfono. Tratándose de otrosMedios Electrónicos, tales como los cajeros automáticos, deberán tener cuando menos cuatro caracteres.(2) Cuando el Medio Electrónico utilizado sea la red electrónica mundial denominada Internet, las Contraseñaso Claves de Acceso deberán incluir caracteres alfanuméricos.(2) III. Proveer lo necesario para evitar la lectura de los caracteres que componen las Contraseñas o Claves deAcceso digitadas por el cliente en la pantalla del Medio Electrónico de acceso.(2) IV. Establecer mecanismos para que, en caso de que exista inactividad en una Sesión por parte de un Usuario,por un lapso que determine la Institución, de acuerdo al servicio de que se trate y en función de los riesgosinherentes al mismo, la Sesión se dé por terminada en forma automática. En ningún caso el periodo deinactividad en una Sesión podrá exceder de los veinte minutos.(2)En el evento de que se ofrezcan servicios de afiliados o de terceros mediante enlaces electrónicos, sedeberá comunicar al Usuario que al momento de ingresar a dichos servicios, se cerrará la Sesión establecidacon la Institución y se ingresará a otra cuya seguridad no depende, ni es responsabilidad de esa Institución,siempre y cuando ésta última sea quien controle el enlace electrónico mencionado.(2) V. Establecer esquemas de bloqueo automático de Contraseñas o Claves de Acceso, cuando menos, para loscasos siguientes: