148.(2) a) Cuando se intente ingresar a los Medios Electrónicos, utilizando Contraseñas o Claves <strong>de</strong> Accesoincorrectas. En ningún caso los intentos <strong>de</strong> acceso fallidos podrán exce<strong>de</strong>r <strong>de</strong> cinco ocasionesconsecutivas sin que se genere <strong>el</strong> bloqueo automático.(2) b) Cuando <strong>el</strong> Usuario se abstenga <strong>de</strong> realizar movimientos <strong>por</strong> <strong>de</strong>pósitos o retiros o acce<strong>de</strong>r a su cuenta,a través <strong>de</strong> Medios Electrónicos, <strong>por</strong> un periodo que <strong>de</strong>termine cada Institución en sus políticas <strong>de</strong>operación, <strong>de</strong> acuerdo con <strong>el</strong> servicio <strong>de</strong> que se trate y en función <strong>de</strong> los riesgos inherentes al mismo.(2) VI. Prever procedimientos para <strong>el</strong> reestablecimiento <strong>de</strong> Contraseñas o Claves <strong>de</strong> Acceso que aseguren que <strong>el</strong>Usuario correspondiente sea quien las reestablezca, <strong>de</strong> acuerdo a lo que <strong>el</strong> Medio Electrónico <strong>de</strong> que se tratepermita. Las Instituciones podrán hacer uso <strong>de</strong> preguntas secretas, siempre que las respuestas respectivassean almacenadas en forma Cifrada y que cada pregunta pueda ser utilizada en una sola ocasión para <strong>el</strong>reestablecimiento <strong>de</strong> sus Contraseñas.(2) VII. Evitar <strong>el</strong> acceso en forma simultánea, mediante la utilización <strong>de</strong> un mismo I<strong>de</strong>ntificador <strong>de</strong> Usuario, al sitio d<strong>el</strong>a red <strong>el</strong>ectrónica mundial <strong>de</strong>nominada Internet que corresponda al dominio <strong>de</strong> la Institución disponible para larealización <strong>de</strong> consultas, Operaciones Monetarias y cualquier otro tipo <strong>de</strong> transacción bancaria.(2) VIII. Realizar campañas <strong>de</strong> difusión <strong>de</strong> recomendaciones <strong>de</strong> seguridad para la realización <strong>de</strong> operaciones a través<strong>de</strong> Medios Electrónicos.(2) Las Instituciones podrán aplicar, bajo su responsabilidad, medidas <strong>de</strong> prevención, tales como la suspensión <strong>de</strong> laprestación <strong>de</strong> los servicios o, en su caso, <strong>de</strong> la transacción que se pretenda realizar, <strong>de</strong> conformidad con lo pactadoen <strong>el</strong> contrato respectivo, en <strong>el</strong> evento <strong>de</strong> que tales Instituciones cuenten con <strong>el</strong>ementos que hagan presumir que laContraseña o Clave <strong>de</strong> Acceso no está siendo utilizada <strong>por</strong> <strong>el</strong> Usuario.(2) Artículo 309.- Las Instituciones <strong>de</strong>berán almacenar en forma Cifrada las Contraseñas o Claves <strong>de</strong> Acceso.(2) Dichas Instituciones tendrán prohibido solicitar a los Usuarios, a través <strong>de</strong> sus funcionarios, empleados o terceros,sus Contraseñas o Claves <strong>de</strong> Acceso, así como contar con procedimientos o mecanismos que les permitan conocerlos valores <strong>de</strong> dichas Contraseñas o Claves <strong>de</strong> Acceso. Las citadas Instituciones <strong>de</strong>berán llevar a cabo revisionesperiódicas a fin <strong>de</strong> verificar que en los Medios Electrónicos no se cuenten con herramientas o procedimientos quepermitan conocer dichos valores.(2) Artículo 310.- El acceso a las bases <strong>de</strong> datos y archivos <strong>de</strong> las Instituciones, correspondientes a las operacionesbancarias y servicios pro<strong>por</strong>cionados a través <strong>de</strong> Medios Electrónicos exclusivamente estará permitido a laspersonas expresamente autorizadas <strong>por</strong> la Institución. Al otorgarse los accesos <strong>de</strong> referencia, <strong>de</strong>berá <strong>de</strong>jarseconstancia <strong>de</strong> dicha circunstancia y señalarse los propósitos y <strong>el</strong> periodo al que se limitan los accesos.(2) La obtención <strong>de</strong> información a que se refiere <strong>el</strong> párrafo anterior, sin contar con la autorización correspondiente, obien, <strong>el</strong> uso in<strong>de</strong>bido <strong>de</strong> dicha información, será sancionada en términos <strong>de</strong> lo previsto en la Ley, inclusive tratándose<strong>de</strong> terceros contratados al amparo <strong>de</strong> lo establecido en <strong>el</strong> Artículo 46 Bis <strong>de</strong> dicho or<strong>de</strong>namiento legal.(2)Artículo 311.- Las Instituciones <strong>de</strong>berán establecer los controles que a continuación se mencionan para larealización <strong>de</strong> Operaciones Monetarias que se pretendan efectuar a través <strong>de</strong> la red <strong>el</strong>ectrónica mundial <strong>de</strong>nominadaInternet o <strong>por</strong> t<strong>el</strong>éfono, o bien, para la actualización <strong>de</strong> información que la propia Institución consi<strong>de</strong>re sensible:(2) I. Solicitar, en forma adicional al uso d<strong>el</strong> I<strong>de</strong>ntificador <strong>de</strong> Usuario y su respectiva Contraseña o Clave <strong>de</strong> Acceso,un segundo factor <strong>de</strong> Autenticación que contenga información dinámica. Para tal efecto, podrán utilizarsegeneradores <strong>de</strong> Claves <strong>de</strong> Acceso <strong>de</strong> un solo uso o tablas aleatorias <strong>de</strong> Contraseñas. En <strong>el</strong> caso <strong>de</strong> tablasaleatorias <strong>de</strong> Contraseñas será necesario que dichas tablas mantengan propieda<strong>de</strong>s similares a las <strong>de</strong>generadores <strong>de</strong> Contraseñas <strong>de</strong> un solo uso, atendiendo al servicio correspondiente y a los riesgos inherentesal mismo.(2) II. Registrar previamente las cuentas <strong>de</strong>stino, mismas que <strong>de</strong>berán quedar habilitadas <strong>de</strong>spués <strong>de</strong> un periodo<strong>de</strong>terminado <strong>por</strong> la propia Institución, <strong>de</strong> acuerdo al servicio <strong>de</strong> que se trate y en función <strong>de</strong> los riesgosinherentes al mismo. Las Instituciones <strong>de</strong>berán informar al cliente <strong>el</strong> plazo máximo en que quedaránhabilitadas dichas cuentas. Para <strong>el</strong> registro <strong>de</strong> las cuentas <strong>de</strong>stino, las Instituciones <strong>de</strong>berán solicitar alUsuario que se autentique nuevamente con <strong>el</strong> segundo factor <strong>de</strong> Autenticación, en los términos <strong>de</strong> la fracciónanterior.(2) III. Validar, con base en la información disponible para la Institución, la estructura d<strong>el</strong> número <strong>de</strong> la cuenta <strong>de</strong>stinoo d<strong>el</strong> contrato, sea que se trate <strong>de</strong> cuentas para <strong>de</strong>pósito, pago <strong>de</strong> servicios, clave bancaria estandarizada,tarjetas <strong>de</strong> crédito u otros medios <strong>de</strong> pago.
149.(2) IV. Permitir a los Usuarios establecer límites <strong>de</strong> monto para Operaciones Monetarias.Se exceptúan <strong>de</strong> lo previsto en este artículo, las Operaciones Monetarias y <strong>de</strong>más transacciones bancarias que serealicen entre cuentas propias d<strong>el</strong> cliente <strong>de</strong>ntro <strong>de</strong> la misma Institución.(2) Artículo 312.- Las Instituciones que pongan al alcance <strong>de</strong> los Usuarios, en sus instalaciones o en áreas <strong>de</strong> accesoal público, equipos <strong>el</strong>ectrónicos o <strong>de</strong> t<strong>el</strong>ecomunicaciones, que permitan llevar a cabo consultas, OperacionesMonetarias y cualquier otro tipo <strong>de</strong> transacción bancaria, <strong>de</strong>berán adoptar medidas que procuren impedir lainstalación en tales equipos, <strong>de</strong> dispositivos que puedan interferir con <strong>el</strong> manejo <strong>de</strong> la información <strong>de</strong> los Usuarios,así como que dicha información sea leída, copiada, modificada o extraída <strong>por</strong> terceros. Lo anterior, atendiendo alservicio <strong>de</strong> que se trate y en función <strong>de</strong> los riesgos inherentes al mismo.(2) Sección TerceraD<strong>el</strong> monitoreo y control y <strong>de</strong> la continuidad <strong>de</strong> los servicios(2)Artículo 313.- Las Instituciones <strong>de</strong>berán mantener mecanismos <strong>de</strong> control para la <strong>de</strong>tección y prevención <strong>de</strong>eventos que se aparten <strong>de</strong> los parámetros <strong>de</strong> uso habitual.(2) Para tal efecto, las Instituciones podrán solicitar a los Usuarios la información que estimen necesaria para <strong>de</strong>finirlos parámetros <strong>de</strong> referencia.(2) Artículo 314.- Las Instituciones <strong>de</strong>berán acordar con sus clientes los mecanismos y medios para notificarles, a labrevedad posible, sobre:(2) I. El registro <strong>de</strong> cuentas a que se refiere <strong>el</strong> Artículo 311, fracción II <strong>de</strong> las presentes Disposiciones.(2) II. Los cambios o modificaciones a los límites <strong>de</strong> monto para Operaciones Monetarias con terceros, <strong>de</strong>finidos <strong>por</strong><strong>el</strong> Usuario en términos <strong>de</strong> lo establecido en <strong>el</strong> Artículo 311, fracción IV <strong>de</strong> las presentes disposiciones.(2) Artículo 315.- Las Instituciones <strong>de</strong>berán contar con bitácoras en las que se registre, cuando menos, la informaciónsiguiente:(2) I. Los accesos a los Medios Electrónicos tanto <strong>de</strong> los Usuarios como <strong>de</strong> las personas expresamente autorizadas<strong>por</strong> la Institución.(2) II. La fecha, hora (hh:mm:ss), número <strong>de</strong> cuenta origen y <strong>de</strong>stino y <strong>de</strong>más información que permita i<strong>de</strong>ntificar <strong>el</strong>mayor número <strong>de</strong> <strong>el</strong>ementos involucrados en los accesos a los Medios Electrónicos.(2) III. Tratándose <strong>de</strong> servicios y operaciones a través <strong>de</strong> la red <strong>el</strong>ectrónica mundial <strong>de</strong>nominada Internet,adicionalmente, los datos <strong>de</strong> las consultas y operaciones incluyendo, en su caso, las direcciones <strong>de</strong> losprotocolos <strong>de</strong> Internet o similares.(2) La información a que se refiere <strong>el</strong> presente artículo <strong>de</strong>berá ser pro<strong>por</strong>cionada a los Usuarios que así lo requieranexpresamente a la Institución, en un plazo que no exceda <strong>de</strong> diez días hábiles, siempre que se trate <strong>de</strong> operacionesrealizadas en las propias cuentas <strong>de</strong> los Usuarios durante los noventa días naturales previos al requerimiento <strong>de</strong> lainformación <strong>de</strong> que se trate.(2) Dichas bitácoras <strong>de</strong>berán ser almacenadas <strong>de</strong> forma segura y contemplar mecanismos <strong>de</strong> sólo lectura, así comomantener procedimientos <strong>de</strong> control interno para su acceso y disponibilidad.(2)Artículo 316.- Las Instituciones <strong>de</strong>berán contar con áreas <strong>de</strong> so<strong>por</strong>te técnico y operacional integradas <strong>por</strong>personal capacitado que se encargará <strong>de</strong> aten<strong>de</strong>r y dar seguimiento a las inci<strong>de</strong>ncias que tengan los Usuarios <strong>de</strong> losMedios Electrónicos, así como <strong>de</strong> procurar la operación continua <strong>de</strong> la infraestructura informática y <strong>de</strong> dar prontasolución <strong>de</strong>finitiva o provisional, para restaurar <strong>el</strong> servicio, en caso <strong>de</strong> presentarse algún inci<strong>de</strong>nte.(2) Dichas inci<strong>de</strong>ncias <strong>de</strong>berán informarse periódicamente al comité <strong>de</strong> auditoría <strong>de</strong> la Institución <strong>de</strong> que se trate, aefecto <strong>de</strong> que se adopten las medidas conducentes para prevenir o evitar que se presenten nuevamente.(9)Capítulo XI(9) De la contratación con terceros <strong>de</strong> servicios o comisiones
- Page 1 and 2:
DISPOSICIONES DE CARACTER GENERAL A
- Page 3 and 4:
3.Sección CuartaDe la administraci
- Page 5 and 6:
5.Apartado BOperaciones Sujetas a R
- Page 7 and 8:
7.Capítulo VIIIMedidas de segurida
- Page 9 and 10:
9.Anexo 26Anexo 27Anexo 28Anexo 29A
- Page 11:
11.celebradas con personas físicas
- Page 14 and 15:
14.(19) L. Participante Central del
- Page 16 and 17:
16.a) Procurar que los mecanismos d
- Page 18 and 19:
18.Sección SegundaDe los fundament
- Page 20 and 21:
20.(16) Tratándose de créditos co
- Page 22 and 23:
22.e) En el caso de créditos con g
- Page 24 and 25:
24.En el caso de créditos directos
- Page 26 and 27:
26.VII.VIII.Verificar que respecto
- Page 28 and 29:
28.III.IV.Los supuestos en los que
- Page 30 and 31:
30.Asimismo, dichas Instituciones,
- Page 32 and 33:
32.señalando que éstas fueron deb
- Page 34 and 35:
34.Para efectuar el referido cómpu
- Page 36 and 37:
36.II.III.IV.Asegurarse de la exist
- Page 38 and 39:
38.En los mismos términos, el comi
- Page 40 and 41:
40.e) Analizar y evaluar permanente
- Page 42 and 43:
42.VIII.IX.El proceso para aprobar,
- Page 44 and 45:
44.I. Analizar, evaluar y dar segui
- Page 46 and 47:
46.(4) El desempeño de las funcion
- Page 48 and 49:
48.En este sentido y respecto a los
- Page 50 and 51:
50.11 65% 65%12 70% 70%13 75% 75%14
- Page 52 and 53:
52.NÚMERO DE PERÍODOSDE FACTURACI
- Page 54 and 55:
54.(19) Cuando las reservas prevent
- Page 56 and 57:
56.b) Si el valor de las garantías
- Page 58 and 59:
58.(19) Apartado C(19) De la metodo
- Page 60 and 61:
60.crédito, conforme a lo señalad
- Page 62 and 63:
62.Artículo 117.- La Calificación
- Page 64 and 65:
64.Artículo 120.- Las Institucione
- Page 66 and 67:
66.Lo establecido en la fracción a
- Page 68 and 69:
68.Las Instituciones podrán aplica
- Page 70 and 71:
70.Más de 6 y hasta 12 10%Más de
- Page 72 and 73:
72.Capítulo VIControles InternosSe
- Page 74 and 75:
74.Artículo 147.- En ningún caso
- Page 76 and 77:
76.conforme a las disposiciones leg
- Page 78 and 79:
78.detrimento del ejercicio de las
- Page 80 and 81:
80.VII.El plazo máximo para, una v
- Page 82 and 83:
82.h) Contemplen, incluyendo toda s
- Page 84 and 85:
84.(19) II. Avanzado, cuyos requisi
- Page 86 and 87:
86.(19) Una vez que la Comisión ha
- Page 88 and 89:
88.(19) Adicionalmente, las Institu
- Page 90 and 91:
90.(19) b) El entorno económico y
- Page 92 and 93:
92.(19) Al respecto, la cobertura d
- Page 94 and 95:
94.(19) II. Tratándose de Instituc
- Page 96 and 97:
96.(19) Correlación:R50 PI501 e1 e
- Page 98 and 99: 98.(19) Artículo 172 Bis 29.- En c
- Page 100 and 101: 100.(1) Artículo 175.- La Comisió
- Page 102 and 103: 102.Las sustituciones del Proveedor
- Page 104 and 105: 104.Externo Independiente, dentro d
- Page 106 and 107: 106.a que se refiere el Boletín A-
- Page 108 and 109: 108.II.III.IV.La explicación detal
- Page 110 and 111: 110.Artículo 189.- El auditor exte
- Page 112 and 113: 112.V. No haber sido, ni tener ofre
- Page 114 and 115: 114.(4) V. Que cumple con los requi
- Page 116 and 117: 116.procedimientos o metodologías
- Page 118 and 119: 118.El incumplimiento de lo dispues
- Page 120 and 121: 120.A-1511 Estratificación de oper
- Page 122 and 123: 122.Medios de entregaArtículo 213.
- Page 124 and 125: 124.I. Copia certificada de la denu
- Page 126 and 127: 126.En caso de que la institución
- Page 128 and 129: 128.hábiles de anticipación a la
- Page 130 and 131: 130.IV.Llevar a cabo las acciones q
- Page 132 and 133: 132.V. La cesión o descuento de ca
- Page 134 and 135: 134.correctivas que aplicarán a lo
- Page 136 and 137: 136.IV.La transmisión de Órdenes
- Page 138 and 139: 138.III.La operación se asignará
- Page 140 and 141: 140.día, con títulos opcionales,
- Page 142 and 143: 142.cubran o se excedan los referid
- Page 144 and 145: 144.III.Que tienen establecidos sis
- Page 146 and 147: 146.conformidad con los Artículos
- Page 150 and 151: 150.(9)Artículo 317.- Las Instituc
- Page 152 and 153: 152.información generada, recibida
- Page 154 and 155: 154.(9) La Comisión podrá decreta
- Page 156 and 157: 156.(7)Adicionalmente, las Instituc
- Page 158 and 159: 158.disposiciones, sin que al efect
- Page 160 and 161: 160.Diario Oficial de la Federació
- Page 162 and 163: 162.T R A N S I T O R I A S(Resoluc
- Page 164 and 165: 164.TRANSITORIO(Resolución que mod
- Page 166 and 167: 166.Que es conveniente que se estab
- Page 168 and 169: 168.CONSIDERANDO DE LA RESOLUCIÓN