Resolución que modifica las disposiciones de carácter general aplicables a las instituciones de crédito.
| Fecha de disposición | 27 Noviembre 2018 |
| Fecha de publicación | 27 Noviembre 2018 |
| Materia | Derecho Público y Administrativo,Financiero,Derecho Constitucional |
| Emisor | SECRETARIA DE HACIENDA Y CREDITO PUBLICO |
| Sección | PRIMERA. Poder Ejecutivo |
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores. La Comisión Nacional Bancaria y de Valores, con fundamento en lo dispuesto por los artículos 52, octavo párrafo y 96 Bis de la Ley de Instituciones de Crédito, así como 4, fracciones XXXVI y XXXVIII; 16, fracción I y 19 de la Ley de la Comisión Nacional Bancaria y de Valores, y
CONSIDERANDO
Que en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de reducir el costo de cumplimiento de las presentes disposiciones, la Comisión Nacional Bancaria y de Valores, mediante resolución publicada en el Diario Oficial de la Federación el 26 de junio de 2017, reformó la "Resolución modificatoria a las Disposiciones de carácter general aplicables a las instituciones de crédito" publicada en el mismo medio de difusión el 6 de enero de 2017, con el objetivo de ampliar el plazo con el que cuentan las instituciones de crédito para que tengan constituido el 100 % del monto de las estimaciones preventivas para riesgos crediticios que corresponden a las carteras crediticias de consumo no revolvente, hipotecaria de vivienda y microcréditos, conforme a la utilización de la nueva metodología aplicable, al tiempo de precisar cuándo deberán revelar dicha información en sus estados financieros, así como en cualquier comunicado público de información financiera, y
Que a fin de estar en condiciones de hacer frente a riesgos y ataques informáticos que pudieran ocasionar afectaciones a las instituciones de crédito y a la realización de operaciones con los clientes, resulta conveniente fortalecer el marco normativo sobre seguridad de sus sistemas e infraestructuras tecnológicas, así como reforzar los controles internos con los que deberán contar, estableciendo un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan sus operaciones y la confidencialidad, integridad y disponibilidad de la información, a fin de que cuenten con medidas específicas, tendientes a proteger su información, certeza en su operación y continuidad de los servicios, ha resuelto expedir la siguiente:
RESOLUCIÓN QUE MODIFICA LAS DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS INSTITUCIONES DE CRÉDITO
ÚNICO.- Se REFORMAN los Artículos 1, fracciones XIII, XXXIX y actual fracción LXXXI; 11, primer párrafo; 12, fracción III; 15 Bis, fracción V, primer párrafo; 51 Bis 3, fracción I y último párrafo; 51 Bis 5, fracción I; 51 Bis 9, fracción I; 86, fracción III, inciso b), numerales 1 a 3; 141, fracción III; 160, fracción III; 164, fracción IV, incisos f) y h); 164 Bis, fracción III; 166, fracción III; 169, primer párrafo, 315 Bis, fracción I y 316 Bis 14, primer párrafo; se ADICIONAN los Artículos 1, fracciones LXXVI, LXXXIII, CXXXVI, y CXCII, recorriéndose las demás fracciones en su orden y según corresponda; 160, fracción XIV; el Título Segundo, Capítulo VI, Sección Octava Bis a denominarse "De la seguridad de la información" que comprende los artículos 168 Bis 11 a 168 Bis 17; 316 Bis 10, fracción V, así como los Anexos 64 Bis y 72; se DEROGAN los Artículos 15 Bis, fracción V, incisos a) a e); 71, fracción IX; 86, fracción III, inciso b), numeral 3, fracciones i. a vi.; 164, fracción V; 166, fracción V; 316 Bis 12; 316 Bis 17 y 316 Bis 20, y se SUSTITUYEN los Anexos 64 y 71 de las "Disposiciones de carácter general aplicables a las instituciones de crédito", publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005, y modificadas mediante resoluciones publicadas en el citado Diario Oficial el 3 y 28 de marzo, 15 de septiembre, 6 y 8 de diciembre de 2006; 12 de enero, 23 de marzo, 26 de abril y 5 de noviembre de 2007; 10 de marzo, 22 de agosto, 19 de septiembre, 14 de octubre y 4 de diciembre de 2008; 27 de abril, 28 de mayo, 11 de junio, 12 de agosto, 16 de octubre, 9 de noviembre, 1 y 24 de diciembre de 2009; 27 de enero, 10 de febrero, 9 y 15 de abril, 17 de mayo, 28 de junio, 29 de julio, 19 de agosto, 9 y 28 de septiembre, 25 de octubre, 26 de noviembre y 20 de diciembre de 2010; 24 y 27 de enero, 4 de marzo, 21 de abril, 5 de julio, 3 y 12 de agosto, 30 de septiembre, 5 y 27 de octubre y 28 de diciembre de 2011; 19 de junio, 5 de julio, 23 de octubre, 28 de noviembre y 13 de diciembre de 2012; 31 de enero, 16 de abril, 3 de mayo, 3 y 24 de junio, 12 de julio, 2 de octubre y 24 de diciembre de 2013; 7 y 31 de enero, 26 de marzo, 12 y 19 de mayo, 3 y 31 de julio, 24 de septiembre, 30 de octubre, 8 y 31 de diciembre de 2014; 9 de enero, 5 de febrero, 30 de abril, 27 de mayo, 23 de junio, 27 de agosto, 21 de septiembre, 29 de octubre, 9 y 13 de noviembre, 16 y 31 de diciembre de 2015; 7 y 28 de abril, 22 de junio, 7 y 29 de julio, 1 de
agosto, 19 y 28 de septiembre y 27 de diciembre de 2016; 6 de enero, 4 y 27 de abril, 31 de mayo, 26 de junio, 4 y 24 de julio, 29 de agosto, 6 y 25 de octubre, 18, 26 y 27 de diciembre de 2017; 22 de enero, 14 de marzo, 26 de abril, 11 de mayo, 26 de junio, 23 de julio, 29 de agosto y 15 de noviembre de 2018, para quedar como sigue:
TÍTULOS PRIMERO y PRIMERO BIS . . .
Capítulos I a V . . .
Secciones Primera a Octava . . .
De la seguridad de la información
Capítulos VII a IX . . .
TÍTULOS SEGUNDO a QUINTO . . .
Anexos 1 a 63 . . .
Anexos 65 a 70 . . .
Artículo 1.- . . .
I. a XII. . . .
XIII. Autenticación: al conjunto de técnicas y procedimientos utilizados para verificar la identidad de:
a) Un Usuario y su facultad para realizar operaciones a través del servicio de Banca Electrónica, o un Usuario de la Infraestructura Tecnológica para acceder, utilizar u operar algún componente de la Infraestructura Tecnológica.
b) Una Institución y su facultad para recibir instrucciones a través del servicio de Banca Electrónica.
XIV. a XXXVIII. . . .
XXXIX. Contingencia Operativa: a cualquier evento que dificulte, limite o impida a una Institución a prestar sus servicios o realizar aquellos procesos que pudieran tener una afectación al Público Usuario.
XL. a LXXV. . . .
LXXVI. Incidente de Seguridad de la Información: a aquel evento que la Institución evalúe de acuerdo a sus procesos de gestión, que pueda:
a) Poner en peligro la confidencialidad, integridad o disponibilidad de un componente o la totalidad de la Infraestructura Tecnológica utilizada por una Institución o de la información que dicha infraestructura procesa, almacena o transmite.
b) Representar una pérdida, extracción, alteración o extravío de información.
c) Constituir una violación de las políticas y procedimientos de seguridad de la información.
d) Representar la materialización de una pérdida por daños, interrupción, alteración o fallas
derivadas del uso del hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de transmisión de información en la prestación de servicios, en Infraestructuras Tecnológicas interconectadas que permiten interacciones entre personas, procesos, datos y componentes de tecnologías de información y telecomunicaciones y que sean causados o deriven, entre otros, en accesos no autorizados, uso indebido de la información o de los sistemas, fraude, robo de información o en interrupción de los servicios, que ponga en riesgo la confidencialidad, integridad y disponibilidad de la información.
e) Vulnerar los sistemas o componentes de la Infraestructura Tecnológica con un efecto adverso para la Institución, sus clientes, terceros, proveedores o contrapartes, comúnmente conocidos como ciber-ataques.
LXXVII. a LXXXI. . . .
LXXXII. Información Sensible o Información Sensible del Usuario: a la información del Público Usuario, que contenga nombres, domicilios, teléfonos o direcciones de correo electrónico, o cualquier otro dato que identifique a dichas personas en conjunto con números de tarjetas bancarias, números de cuenta, límites de crédito, saldos, montos y demás datos de naturaleza financiera, así como Identificadores de Usuarios o información de Autenticación.
LXXXIII. Infraestructura Tecnológica: a los equipos de cómputo, instalaciones de procesamiento de datos y comunicaciones, equipos y redes de comunicaciones, sistemas operativos, bases de datos, aplicaciones y sistemas que utilizan las Instituciones para soportar su operación.
LXXXIV. a CXXXV. . . .
CXXXVI. Plan Director de Seguridad: al documento que establece la estrategia de seguridad de una Institución para procurar una correcta gestión de la seguridad de la información y evitar la materialización de Incidentes de Seguridad de la Información que podrían afectar de forma negativa a la Institución.
CXXXVII a CLIV. . . .
CLV. a CXCI. . . .
CXCII. Usuario de la Infraestructura Tecnológica: a la persona, Usuario o componente físico o lógico que acceda, utilice u opere la Infraestructura...
Para continuar leyendo
Solicita tu prueba