SECRETARIA DE HACIENDA Y CREDITO PUBLICO

RESOLUCIÓN que modifica las disposiciones de carácter general aplicables a las instituciones de crédito

Lunes 03 de junio de 2013

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.

La Comisión Nacional Bancaria y de Valores, con fundamento en lo dispuesto por los Artículos 52 de la Ley de Instituciones de Crédito, así como 4, fracciones I y XXXVI, 16, fracción I de la Ley de la Comisión Nacional Bancaria y de Valores, y

CONSIDERANDO

Que acorde con la experiencia que esta Comisión ha obtenido derivado de la supervisión del uso de banca electrónica y atendiendo a diversas consultas y solicitudes efectuadas por el sector bancario, ha observado que resulta indispensable ajustar la regulación aplicable a los requisitos que deberán reunir dichas instituciones en la operación y la prestación de dichos servicios con el público, con la finalidad de facilitar su implementación, por lo que ha resuelto lo siguiente:

RESOLUCIÓN QUE MODIFICA LAS DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS INSTITUCIONES DE CRÉDITO

Se ADICIONAN un segundo y tercer párrafos al Artículo 316 Bis 8 y dos fracciones al referido segundo párrafo del propio Artículo 316 Bis 8; se REFORMAN los Artículos 1, fracciones XC y CLI segundo párrafo; 306, fracción I, inciso c); 307, fracciones II, segundo y tercer párrafos, III, segundo párrafo y IV; 309, fracción I, segundo y tercer párrafos; 311, fracción I, inciso a); 314, quinto y último párrafos; 315, cuarto y quinto párrafos; 316 Bis 1, segundo párrafo; y se SUSTITUYEN los Anexos 58 y 63 de las “Disposiciones de carácter general aplicables a las instituciones de crédito”, publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005, modificadas mediante Resoluciones publicadas en el citado Diario Oficial el 3 y 28 de marzo, 15 de septiembre, 6 y 8 de diciembre de 2006, 12 de enero, 23 de marzo, 26 de abril, 5 de noviembre de 2007, 10 de marzo, 22 de agosto, 19 de septiembre, 14 de octubre, 4 de diciembre de 2008, 27 de abril, 28 de mayo, 11 de junio, 12 de agosto, 16 de octubre, 9 de noviembre, 1 y 24 de diciembre de 2009, 27 de enero, 10 de febrero, 9 y 15 de abril, 17 de mayo, 28 de junio, 29 de julio, 19 de agosto, 9 y 28 de septiembre, 25 de octubre, 26 de noviembre y 20 de diciembre de 2010, 24 y 27 de enero, 4 de marzo, 21 de abril, 5 de julio, 3 y 12 de agosto, 30 de septiembre, 5 y 27 de octubre, 28 de diciembre de 2011, 19 de junio, 5 de julio, 23 de octubre, 28 de noviembre, 13 de diciembre de 2012, 31 de enero, 16 de abril y 3 de mayo de 2013, para quedar como sigue:

“Artículo 1.- …

I. a LXXXIX. …

XC. Mensajes de Texto SMS: al mensaje de texto disponible para su envío en servicios de telefonía móvil.

XCI. a CL. …

CLI. ….

Asimismo, se considerarán Usuarios a los terceros con los que las Instituciones celebren comisiones por cuenta y orden de la propia Institución, en términos de lo dispuesto por la Sección Segunda del Capítulo XI del Título Quinto de las presentes disposiciones, que utilicen Medios Electrónicos para la realización de las citadas comisiones.

CLII. a CLIV. …”

“Artículo 306.- …

I. …

a) y b)…

c) Los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados por las Instituciones, a través del servicio de Banca Electrónica. Lo anterior en el entendido de que las Cuentas Bancarias de Nivel 1 no requerirán de los mecanismos y procedimientos referidos en el presente inciso.

d) a f)…

II. y III. …

Artículo 307.- …

I. …

II. ...

Dicha confirmación deberá efectuarse en el periodo determinado por cada Institución sin que pueda ser menor a treinta minutos contados a partir de que se haya efectuado la contratación.

Las Instituciones no podrán permitir a sus Usuarios la contratación de servicios de Banca Electrónica a través de Cajeros Automáticos y Terminales Punto de Venta, con excepción del servicio de Pago Móvil.

III. …

a) y b)…

Las Instituciones podrán permitir asociar hasta dos tarjetas o cuentas bancarias del mismo Usuario a un número de línea de Teléfono Móvil, siempre y cuando una de ellas solamente funcione bajo la modalidad de Operaciones Monetarias de Micro Pagos. Adicionalmente, el Usuario podrá a su vez autorizar la realización de cargos a otra cuenta de la que sea titular para abonar los recursos a la cuenta asociada al servicio de Pago Móvil, conforme a lo dispuesto en el artículo 307, fracción III, inciso a) de las presentes disposiciones. Para efectos de lo anterior, las Instituciones deberán autenticar a los clientes utilizando procedimientos que aseguren que es el propio cliente quien está solicitando dicha asociación. Las Instituciones deberán someter a la autorización de la Comisión el procedimiento que emplearían para la identificación del cliente.

IV. Tratándose de Cuentas Bancarias de Niveles 2, 3 y 4, deberán solicitar a sus Usuarios al momento de la contratación, datos de algún medio de comunicación, tales como su dirección de correo electrónico o número de teléfono móvil para la recepción de Mensajes de Texto SMS, a fin de que las Instituciones les hagan llegar las notificaciones a que se refiere el Artículo 316 Bis 1 de estas disposiciones.

V. y VI. …”

“Artículo 309.-…

I. …

En caso de que la tecnología utilizada en Pago Móvil no permita implementar lo señalado en el párrafo anterior y la información de los factores de autenticación se almacene en el dispositivo, las Instituciones podrán ofrecer tal servicio obteniendo la previa autorización de la Comisión, en cuya solicitud deberán exponer los controles que les permitirán a los Usuarios realizar operaciones de forma segura.

Asimismo, las Instituciones que obtengan la autorización a que se refiere el párrafo anterior, deberán prever que las propias Instituciones asumirán los riesgos y por lo tanto los costos de las operaciones realizadas a través de Pago Móvil que no cumplan con lo previsto en el primer párrafo de la presente fracción y que no sean reconocidas por los Usuarios. Las reclamaciones derivadas de estas operaciones deberán ser abonadas a los Usuarios a más tardar cuarenta y ocho horas posteriores a la reclamación.

…

II. …”

Artículo 310.- …

I. a III. …

IV. …

…

Las Instituciones podrán considerar dentro de esta categoría la firma autógrafa de sus Usuarios en los comprobantes generados por las Terminales Punto de Venta o bien la plasmada en dispositivos ópticos que produzcan la imagen digitalizada de la firma, únicamente cuando los propios Usuarios realicen Operaciones Monetarias referidas al pago de bienes o servicios a través de dichas Terminales Punto de Venta.

Artículo 311.- …

I. …

a) Aquella que el Usuario conozca o haya proporcionado a la Institución, o bien, que haya señalado para este fin, tales como nombre, alias, imágenes, entre otros.

b) …

II. …”

“Artículo 314.- …

…

Las Cuentas Destino deberán quedar habilitadas d espués de un periodo determinado por la propia Institución, sin que este sea menor a treinta minutos contados a partir de que se efectúe el registro. Las Instituciones deberán informar al Usuario el plazo en que quedarán habilitadas dichas cuentas. Se exceptúa de este periodo a las Cuentas Destino que hayan sido registradas a través de Banca Móvil, sin perjuicio de lo dispuesto en el último párrafo de este artículo, las registradas en Oficinas Bancarias utilizando la firma autógrafa del Usuario, así como aquellas para efectuar pago de impuestos.

…

Para las Operaciones Monetarias que se realicen a través de Banca Host to Host, Terminales Punto de Venta, Cajeros Automáticos y Pago Móvil, no se requerirá que los Usuarios registren las Cuentas Destino; tampoco para las que se realicen mediante Banca Móvil, siempre que, tratándose de este último, el monto de dichas operaciones sea hasta el equivalente a las de Mediana Cuantía por cada operación.

Artículo 315.- …

…

Tratándose de Cajeros Automáticos, el monto acumulado diario de las Operaciones Monetarias que representen un cargo a la cuenta del cliente, no podrá exceder del equivalente en moneda nacional a las Operaciones Monetarias de Mediana Cuantía por cuenta, con excepción de aquellas operaciones entre cuentas propias y los abonos que se realicen a las cuentas preregistradas conforme a lo dispuesto en el Artículo 314 de las presentes disposiciones; en tales casos, el límite será determinado por la Institución.

En ningún caso el monto acumulado de las Operaciones Monetarias realizadas por un Usuario a través de Pago Móvil, aun cuando tenga asociadas hasta dos tarjetas o cuentas bancarias, en su caso, podrá exceder del equivalente en moneda nacional a las Operaciones Monetarias de Mediana Cuantía en un día y no deberán superar el equivalente en moneda nacional a 6,000 UDIs mensuales.

Tratándose de Operaciones Monetarias de Micro Pagos, el saldo disponible de la cuenta asociada al Teléfono Móvil no podrá ser mayor al equivalente en moneda nacional a 250 UDIs.

…”

“Artículo 316 Bis 1.- …

I. a IX. …

Las Instituciones deberán asegurarse de que la información transmitida para notificar al Usuario sobre los eventos a que se refiere el presente artículo, no contenga números de cuenta completos, domicilios, ni saldos de cuentas de depósito. No obstante lo anterior, las Instituciones podrán transmitir la información del saldo de la cuenta para el servicio de Pago Móvil, siempre que la cuenta asociada a dicho servicio sea de nivel 2.

…

…”

“Artículo 316 Bis 8.- …

Se exceptúa de lo dispuesto por el párrafo anterior, a:

I. Los dispositivos que se encuentren conectados a teléfonos móviles y funcionen de manera similar a las Terminales Punto de Venta.

II. Las Terminales Punto de Venta en las que únicamente se acepten tarjetas emitidas por la Institución adquirente.

En todo caso, las Instituciones deberán dar cumplimiento a lo dispuesto por el cuarto párrafo de la fracción III del Artículo 310 de las presentes disposiciones”

TRANSITORIO

ÚNICO.- La presente Resolución entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.

Atentamente,

México, D.F., a 23 de mayo de 2013.- El Presidente de la Comisión Nacional Bancaria y de Valores, Jaime González Aguadé.- Rúbrica.

ANEXO 58

REQUERIMIENTOS TECNICOS PARA LA OPERACION DE MEDIOS ELECTRONICOS PARA LAS OPERACIONES CONTEMPLADAS EN LA SECCION SEGUNDA DEL CAPITULO XI DEL TITULO QUINTO

Los Medios Electrónicos que utilicen las Instituciones para garantizar la correcta ejecución de las operaciones bancarias y de seguridad de la información de los clientes bancarios y del público en general, deberán cumplir con los requerimientos a que se refiere el presente anexo.

I. Definiciones.

Para efectos del presente anexo, en adición a las definiciones señaladas en el Artículo 1 de las presentes disposiciones, se entenderá por:

1. Identificador Individual: La cadena de caracteres asignada a cada Operador en lo individual.

2. Operador: El empleado del comisionista Usuario que tenga acceso a los Medios Electrónicos.

II. Requerimientos de los Medios Electrónicos.

1. Mecanismos necesarios para realizar las transacciones en línea.

Los Medios Electrónicos deberán contar con los mecanismos necesarios para realizar las transacciones en línea, es decir, al instante mismo en que se lleve a cabo la operación, actualizando los saldos del cliente en línea salvo tratándose de las operaciones referidas en el Artículo 319, Fracciones I y IV, donde podrán realizar la actualización de saldos en apego a lo establecido por las reglas de operación de las propias Instituciones.

Para tales efectos, las operaciones de pago de servicios en efectivo o con tarjeta de débito, o con cargo a Cuentas Bancarias, depósito de efectivo, pago de créditos en efectivo y situación de fondos; deberán registrarse como un cargo a la cuenta de depósito que el comisionista tenga con la Institución. Por su parte, las operaciones de retiro de efectivo y pago de cheques deberán registrarse como un abono a la misma cuenta.

En los casos en que la información del saldo del cliente se almacene en dispositivos tales como tarjetas con circuito integrado o equipos ubicados en las instalaciones de los comisionistas, se considerará como afectación en línea la realizada en tales dispositivos siempre y cuando existan mecanismos para su consolidación periódica en los sistemas centrales de las Instituciones. Para tales efectos, las Instituciones deberán solicitar la autorización referida en el Artículo 322 de las presentes disposiciones.

2. Validación de Medios Electrónicos del comisionista.

Únicamente los Medios Electrónicos de los comisionistas autorizados por la Institución tendrán acceso a la infraestructura dispuesta por aquélla.

Los sistemas informáticos de la Institución deberán autenticar a los Medios Electrónicos que los comisionistas utilicen para realizar operaciones bancarias.

3. Certificación de Medios Electrónicos del comisionista.

La Institución será responsable de certificar la instalación y el uso de los Medios Electrónicos que el comisionista mantenga para la realización de las operaciones bancarias, así como de establecer mecanismos periódicos de evaluación de dichos Medios Electrónicos.

Asimismo, la Institución deberá cerciorarse en todo momento que los medios electrónicos utilizados por los comisionistas mantienen mecanismos de control que eviten la lectura y extracción de la información de los clientes por terceros no autorizados.

4. Políticas y procedimientos para la administración de accesos y configuración de Medios Electrónicos.

La Institución deberá contar con políticas y procedimientos para la:

a) Administración de los accesos de los empleados de los comisionistas a los Medios Electrónicos.

b) Capacitación a los comisionistas en el uso de los Medios Electrónicos. Dicha capacitación deberá incluir aspectos relacionados con la protección de la información de los clientes bancarios.

c) Configuración de los Medios Electrónicos que se conecten a sus sistemas informáticos.

d) Administración de llaves criptográficas utilizadas entre los comisionistas y sus sistemas.

5. Transmisión de datos Cifrada.

Las Instituciones deberán cifrar el mensaje o utilizar medios de comunicación Cifrada para la transmisión de la Información Sensible del Usuario, desde el punto de originación de la operación hasta los sistemas centrales de la Institución, para llevar a cabo consultas, Operaciones Monetarias y cualquier otro tipo de transacción bancaria, entre la Institución y sus clientes utilizando los Medios Electrónicos de los comisionistas.

6. Generación de registros electrónicos de operaciones.

Todas las operaciones realizadas a través de los comisionistas deberán generar registros electrónicos que no puedan ser modificados o borrados y en los que se deberá incluir al menos la fecha, hora y minuto, el tipo y monto de la instrucción, el número de cuenta del cliente bancario, ubicación física de la ventanilla o medio a través del cual se ejecutó la instrucción, así como la información suficiente que permita la identificación del personal que realizó la instrucción. La custodia de dichos registros deberá estar a cargo de la Institución.

III. Requerimientos de Identificación de Operadores y Autenticación clientes bancarios.

1. Mecanismos necesarios para la plena identificación de los comisionistas.

Las Instituciones deberán contar con mecanismos para identificar a los Operadores que se conectarán a través de los comisionistas.

2. Generación y entrega de Contraseñas o Claves de Acceso de los Operadores y Números de Identificación Personal (NIP) de los clientes bancarios.

Las Instituciones deberán establecer mecanismos para el proceso de generación y entrega de los Factores de Autenticación que aseguren que sólo el comisionista, en su caso, los Operadores y los clientes bancarios, respectivamente, podrán conocer.

3. Composición de Contraseñas o Claves de Acceso de los Operadores y Números de Identificación Personal (NIP) de los clientes bancarios.

Deberán establecerse criterios para las características de la longitud de las Contraseñas o Claves de Acceso de los Operadores y de los Números de Identificación Personal (NIP) de los clientes bancarios.

4. Protección de Contraseñas o Claves de Acceso y Números de Identificación Personal (NIP).

Las Instituciones deberán proveer lo necesario para evitar la lectura de los caracteres que componen las Contraseñas o Claves de Acceso, así como los Números de Identificación Personal (NIP) digitados por los clientes bancarios, respectivamente, en los Medios Electrónicos de acceso, tanto en su captura como en su despliegue a través de la pantalla.

Las Contraseñas o Claves de Acceso y los Números de Identificación Personal (NIP) deberán validarse y almacenarse a través de mecanismos de encripción, cuyas llaves criptográficas deberán estar bajo administración y control de la Institución de que se trate. En ningún momento, los comisionistas podrán tener acceso a los datos o algoritmos relacionados con dichas Contraseñas o Claves de Acceso y Números de Identificación Personal (NIP).

5. Autenticación con dos factores para clientes bancarios.

Para la realización a través de los comisionistas de consultas y operaciones que representen un cargo a la cuenta de los clientes bancarios, éstos últimos deberán autenticarse a través de los Medios Electrónicos con los que se realicen las mencionadas operaciones utilizando dos Factores de Autenticación diferentes.

Para efectos de lo anterior, las Instituciones podrán optar por la combinación de al menos dos de los siguientes Factores de Autenticación y ajustarse a lo dispuesto en el Capítulo X del Título Quinto de las presentes disposiciones:

a) Tarjetas de débito o crédito con mecanismos de seguridad tales como tarjetas con banda magnética y/o circuito integrado o “chip”.

b) Número de Identificación Personal (NIP).

En el caso de que se utilicen tarjetas de débito o crédito, se deberá hacer uso de lectoras de tarjetas, tales como PIN PADS, para la Autenticación de clientes bancarios, que cuenten con una pantalla y un teclado exclusivamente diseñado para que el cliente bancario pueda ingresar la información de su respectiva tarjeta y su Número de Identificación Personal (NIP), así como con mecanismos que eviten su lectura por parte de terceros.

En el caso de utilizar teléfono celular, el Número de Identificación Personal (NIP) deberá ser ingresado directamente en el teclado de dicho teléfono. En ningún caso la información del NIP podrá ser almacenada en el teléfono celular sin mecanismos de encripción.

c) Factor Biométrico.

En caso de utilizar lectores biométricos para la Autenticación de los clientes bancarios, dichos lectores deberán tener mecanismos que aseguren que es el cliente autorizado el que realiza la operación.

Toda la administración y control de la información biométrica deberá ser responsabilidad única de la Institución a través de los canales de atención al cliente que tienen establecidos.

d) Teléfono celular.

En caso de utilizar teléfonos celulares para la Autenticación de los clientes bancarios, las Instituciones deberán verificar que la tecnología de dichos teléfonos celulares les permita funcionar como Factor de Autenticación y que cuenta con mecanismos de seguridad que eviten su duplicación.

Las Instituciones no podrán utilizar la combinación de los Factores de Autenticación a que se refieren los incisos a) y d) para autenticar a sus clientes.

6. Autenticación para Operadores.

Para la recepción y operación de transacciones solicitadas por los clientes bancarios a través de los Medios Electrónicos de los comisionistas, los Operadores deberán iniciar una sesión y autenticarse a través de dichos Medios.

Los procesos de autenticación deberán ser validados por la Institución, a través de los mecanismos y controles que ésta estime conveniente.

7. Bloqueo de los Factores de Autenticación.

Se deberán establecer esquemas de bloqueo de los Factores de Autenticación cuando se intente ingresar a los Medios Electrónicos de forma incorrecta. En ningún caso los intentos de acceso fallidos podrán exceder de cinco ocasiones consecutivas sin que se genere el bloqueo automático.

Únicamente la Institución, previa autenticación del cliente bancario, en su caso, podrá desbloquear dichos Factores de Autenticación.

8. Acceso a datos del cliente bancario.

En ningún caso los Medios Electrónicos utilizados por los comisionistas podrán permitir la realización de operaciones o consulta de saldos sin la previa Autenticación en términos del numeral 5 del apartado III del presente anexo, del cliente correspondiente. Quedarán exceptuadas para este caso las operaciones de depósito y pagos.

Asimismo, tratándose de operaciones bancarias que requieran que el comisionista acceda a los saldos de las cuentas de los clientes bancarios, dicho comisionista deberá, en todo momento, guardar confidencialidad respecto de dicha operación y realizar previamente al acceso respectivo, la Autenticación referida en el numeral 1 del apartado III del presente anexo.

IV. Operación de Medios Electrónicos.

1. Validación de estructura de cuenta destino.

Los Medios Electrónicos de los comisionistas deberán validar, con base en la información disponible para la Institución, la estructura del número de la cuenta destino o del contrato, sea que se trate de cuentas para depósito, pago de servicios, Clave Bancaria Estandarizada, tarjetas de crédito u otros medios de pago.

2. Generación de comprobantes de operación.

Los Medios Electrónicos deberán generar automáticamente los comprobantes de operación que emitan las Instituciones para cada operación, sin mediar intervención alguna por parte del personal del comisionista. Dichos comprobantes de operación serán diferentes a aquéllos que utilicen los comisionistas para registrar las operaciones propias de su giro comercial y deberán incluir, en adición a lo dispuesto por las disposiciones aplicables en materia de comprobantes de operación de las Instituciones, lo siguiente:

a) Los datos que permitan al cliente bancario identificar la cuenta respecto de la cual se efectuó la operación. En ningún momento se deberá mostrar en los comprobantes el número completo de la cuenta.

b) La información de las consultas de saldos, cuando el cliente así lo haya solicitado y autorizado, en cuyo caso deberá ser proporcionada únicamente al cliente a través del comprobante correspondiente. El comisionista no podrá emitir un duplicado de dicho comprobante o mantener copia del mismo.

c) La identificación de la Institución y del comisionista con el que se efectuó la operación, precisando en este último caso, el domicilio del establecimiento a través del cual se ejecutó la instrucción.

d) La información que permita la identificación del personal que realizó la instrucción.

e) Cuando se alcancen los límites a que se refieren los Artículos 323 de las presentes disposiciones, según corresponda, no se podrán llevar a cabo las operaciones solicitadas, por lo que los Medios Electrónicos deberán generar comprobantes que indiquen al cliente bancario dicha situación. Para tales efectos, se deberá proporcionar un comprobante que incluya las leyendas siguientes:

i) En el caso del límite a que se refiere la fracción II, inciso b), del Artículo 323 de las presentes disposiciones:

“Transacción no realizada por haber excedido su límite permitido. Acuda a una sucursal bancaria.”

ii) En el caso de los límites a que se refieren las fracciones I y II, inciso a), del Artículo 323 de las presentes disposiciones, según corresponda:

“Transacción no realizada.”

Por ningún motivo deberá mostrarse en el comprobante de operación el domicilio del cliente.

3. Monitoreo de operaciones.

La Institución deberá establecer mecanismos continuos mediante herramientas informáticas que le permitan monitorear las actividades realizadas por los Operadores a través de los Medios Electrónicos de los comisionistas con el fin de detectar transacciones que se alejen de los parámetros habituales de operación.

4. Almacenamiento de Información Sensible del Usuario bancario en Medios Electrónicos de los comisionistas.

Los comisionistas no podrán almacenar, conservar o copiar en sus Medios Electrónicos o en cualquier otro medio, Información Sensible del Usuario de la Institución. Asimismo, los comisionistas no podrán emitir un duplicado de los comprobantes de consultas de saldos o mantener copias de los mismos. En los casos que por razones operativas y técnicas se requiera almacenar parcial o totalmente dicha información en sus Medios Electrónicos, ésta deberá mantener mecanismos de encripción. Las llaves criptográficas correspondientes deberán ser administradas por la propia Institución.

En el caso de que la información relacionada con la clientela de la Institución corresponda a operaciones derivadas del uso de Cuentas Bancarias, podrá ser almacenada sin mecanismos de encripción, siempre y cuando la información no contenga nombres y domicilios.

Corresponderá a las Instituciones verificar el cumplimiento del presente numeral.

5. Administración y control de aclaraciones y reportes por robo o extravío de los Factores de Autenticación.

Todas las aclaraciones y quejas a las que se refieren el segundo párrafo de la fracción III del Artículo 322 de las presentes disposiciones, según corresponda, deberán consolidarse en una base de datos administrada y controlada en todo momento por la Institución de que se trate.

ANEXO 63

GUIA PARA EL USO DEL SERVICIO DE BANCA ELECTRONICA

I. POR SERVICIO

a) Servicios Pago Móvil, Banca Móvil y Banca por Internet

A=Artículo, P=Párrafo, B=Bis, F= Fracción, T= Transitorio

Concepto	Pago Móvil	Banca Móvil	Banca por Internet
Resumen	Servicio en el cual el dispositivo de acceso consiste en un Teléfono Móvil del Usuario cuyo número de línea se encuentra asociado al servicio y en el que únicamente se podrán realizar consultas de saldos de las cuentas asociadas al servicio, pagos o transferencias con cargo a una tarjeta o cuenta bancaria y actos para la administración del servicio ^A1. Se pueden realizar las siguientes operaciones: a) Micro Pagos (70 UDIs) sin registro de cuentas^A314.P8 y sin Factor de Autenticación (FA)^A313.P3, siempre y cuando la Institución pague las reclamaciones en 48 horas^A313.P3 b) Baja Cuantía (250 UDIs) sin registro de cuentas^A314.P8 c) Mediana Cuantía (1,500 UDIs) requieren registro de Cuentas Destino^A314.P1 b) y c) requieren de un solo FA^A313.P2 (NIP de 5 dígitos ^{A310.F2.b).ii}) El monto de operaciones está limitado a 1,500 UDIs diarias y 6,000 UDIs mensuales^A315.P5	Servicios y operaciones bancarias a través de un Teléfono Móvil del Usuario cuyo número de línea está asociado al servicio ^A1. Este dato debe ser obtenido de forma automática por la Institución para ser utilizado como identificador de Usuario ^A308.P4 Los servicios que utilicen navegadores u otras aplicaciones, y cuyo número de línea del Teléfono Móvil no se encuentre asociado al servicio, son considerados Banca por Internet	Servicios y operaciones bancarias realizadas a través de Internet, en el sitio que corresponda a uno o más dominios de la Institución, incluyendo el acceso mediante el protocolo WAP o equivalente ^A1 El acceso al servicio puede realizarse mediante cualquier equipo (PC, Teléfono Móvil, PDA) con conexión a Internet

Concepto

Pago Móvil

Banca Móvil

Banca por Internet

Resumen

Servicio en el cual el dispositivo de acceso consiste en un Teléfono Móvil del Usuario cuyo número de línea se encuentra asociado al servicio y en el que únicamente se podrán realizar consultas de saldos de las cuentas asociadas al servicio, pagos o transferencias con cargo a una tarjeta o cuenta bancaria y actos para la administración del servicio ^A1. Se pueden realizar las siguientes operaciones:

a) Micro Pagos (70 UDIs) sin registro de cuentas^A314.P8 y sin Factor de Autenticación (FA)^A313.P3, siempre y cuando la Institución pague las reclamaciones en 48 horas^A313.P3

b) Baja Cuantía (250 UDIs) sin registro de cuentas^A314.P8

c) Mediana Cuantía (1,500 UDIs) requieren registro de Cuentas Destino^A314.P1

b) y c) requieren de un solo FA^A313.P2 (NIP de 5 dígitos ^{A310.F2.b).ii})

El monto de operaciones está limitado a 1,500 UDIs diarias y 6,000 UDIs mensuales^A315.P5

Servicios y operaciones bancarias a través de un Teléfono Móvil del Usuario cuyo número de línea está asociado al servicio ^A1. Este dato debe ser obtenido de forma automática por la Institución para ser utilizado como identificador de Usuario ^A308.P4

Los servicios que utilicen navegadores u otras aplicaciones, y cuyo número de línea del Teléfono Móvil no se encuentre asociado al servicio, son considerados Banca por Internet

Servicios y operaciones bancarias realizadas a través de Internet, en el sitio que corresponda a uno o más dominios de la Institución, incluyendo el acceso mediante el protocolo WAP o equivalente ^A1

El acceso al servicio puede realizarse mediante cualquier equipo (PC, Teléfono Móvil, PDA) con conexión a Internet

Contratación

A través de uno de los siguientes:

a) Centros de atención telefónica^A307.F3

b) Con firma autógrafa ^A307.F1

c) En otro servicio utilizando un Segundo Factor de Autenticación (2FA) ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos^A307.F2.P2

Se puedenasociar hasta dos tarjetas o cuentas bancarias del mismo Usuario a un número de línea de Teléfono Móvil, siempre y cuando solamente una de ellas funcione bajo la modalidad de Operaciones de Micro Pagos^A307.F3.P2

Adicionalmente, el Usuario podrá autorizar la realización de cargos a otra cuenta en la que él mismo sea titular para abonar los recursos a la cuenta asociada al servicio.^A307.F3.P2.

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias.^A307.F6

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados por las Instituciones, Lo anterior en el entendido de que las Cuentas Bancarias de Nivel 1 no requerirán de los mecanismos y procedimientos referidos en el presente párrafo.^A306.F1.c)

A través de uno de los siguientes:

a) Con firma autógrafa ^A307.F1

b) En otro servicio utilizando un 2FA ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos^A307.F2.P2

c) Centros de atención telefónica, siempre y cuando las operaciones que se puedan realizar no requieran un segundo factor de autenticación y sea para cuentas niveles 1 a 3 ^{A307.F1.d)
y F3}

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados^A306.F1.c)

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias.^A307.F6

A través de uno de los siguientes:

a) Con firma autógrafa ^A307.F1

b) En otro servicio utilizando un 2FA ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos^A307.F2.P2

c) Con firma electrónica avanzada o fiable (únicamente para realizar operaciones entre la cuenta originadora del Usuario y una Cuenta Destino del propio Usuario en otra Institución) o bien, tratándose de cuentas originadoras niveles 2 y 3, con mecanismos similares al utilizado para abrir la cuenta. Se requiere autorización^A307.F5

d) Centros de Atención telefónica cuando el servicio esté asociado a cuentas de niveles 1 a 3 y sean para las operaciones que no estén comprendidas en el artículo 313 de las presentes disposiciones)^{A307.F1.d) y F3}

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados^A306.F1.c)

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias.^A307.F6

Identificador de Usuario

Número de la línea del teléfono móvil obtenido automáticamente por la Institución ^A308.P4

Identificador único de Usuario ^A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud ^A308.P3

Factores de Autenticación

Factor Categoría 2: Contraseña o Número de Identificación Personal (NIP) de 5 caracteres ^{A310.F2.b).ii}

Factor Categoría 2: Contraseña o NIP de 6 caracteres^A310.F2.b), más cualquiera de los siguientes:

Factor Categoría 3: Contraseñas de un solo uso (OTP)^A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros ^A310.F3.P6, para ello requieren autorización ^A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A310.F3.P7 (Aplica A5T), ó;

Factor Categoría 4: Biométricos^A310.F4.P1

Factor Categoría 2: Contraseña o NIP de 8 caracteres (Aplica A6T)^{A310.F2.b).iii}, más cualquiera de los siguientes:

Factor Categoría 3: Contraseñas de un solo uso (OTP) ^A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros ^A310.F3.P6, para ello requieren autorización ^A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A310.F3.P7 (Aplica A5T), ó;

Factor Categoría 4: Biométricos^A310.F4.P1

Autenticación de la Institución por el Usuario

No Aplica

Se debe proporcionar información que solo el Usuario conozca antes de ingresar todos los elementos de identificación y Autenticación del Usuario^A311.F1

Una vez que el Usuario identifique a la Institución e inicie Sesión, la Institución desplegará fecha y hora del último acceso al servicio de Banca Electrónica y nombre completo^A311.F2

Impedir la lectura en pantalla de la información de Autenticación

Puede no enmascararse el NIP, y en caso de almacenar la información de los factores de Autenticación en el teléfono móvil, se requiere autorización ^A309.F1.P2y debiendo asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A309.F1.P3

Aplica ^A309.F1

Aplica^A309.F1

Operaciones y uso de un 2FA Categoría 3 (OTP) ó 4 (Biométrico)

No requiere un 2FA para Operaciones Monetarias ^A313.P2

Operaciones Monetarias permitidas:

a) Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios ^A313.F1

b) Pago de impuestos ^A313.F2

Se pueden realizar pagos de hasta 70 UDIs sin necesidad de utilizar ningún FA ^A313.P3 Se requiere autorización y deberán asumir por escrito el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A313.P3

Operaciones permitidas utilizando un 2FA ^A313.P1:

a) Transferencias a cuentas de terceros u otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios ^A313.F1

b) Pago de impuestos ^A313.F2

c) Establecimiento e incremento de límites de monto ^A313.F3

d) Registro de Cuentas Destino ^A313.F4

e) Alta y modificación del medio de notificación ^A313.F5

f) Consultas de estados de cuenta ^A313.F6

g) Contratación de otro servicio ^A313.F7

h) Desbloqueo de Contraseñas o NIPs ^A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa ^A313.F1.P2

En el caso del inciso f), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente. ^A313.F6.P3

Se pueden realizar pagos de hasta 70 UDIs sin necesidad de utilizar ningún FA ^A313.P3. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A313.P3

Operaciones permitidas utilizando un 2FA ^A313.P1:

b) Pago de impuestos ^A313.F2

c) Establecimiento e incremento de límites de monto ^A313.F3

d) Registro de Cuentas Destino ^A313.F4

e) Alta y modificación del medio de notificación ^A313.F5

f) Consultas de estados de cuenta ^A313.F6

g) Contratación de otro servicio ^A313.F7

h) Desbloqueo de Contraseñas o NIPs ^A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa ^A313.F1.P2

En el caso de personas morales, no será obligatorio el uso de un 2FA por cada operación, si se utilizan mecanismos mediante los cuales una persona realiza la solicitud de la operación y otra es quien la autoriza ^A313.P5. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas. ^A313.P6

Registro de Cuentas Destino

No es necesario registrar Cuentas Destino para este servicio. ^A314.P8

No es posible registrar cuentas por este servicio^A1

Para operaciones mayores a 1500 UDIs se requiere el registro de Cuentas Destino^A314.P8, las cuales se habilitarán al momento de registrarlas por este servicio^A314.P5

Se pueden registrar en el mismo servicio usando un 2FA Categorías 3 ó 4^A313.F4, mediante firma autógrafa ^A313.F1.P2, o en otro servicio ^A314.P1 con 2FA, Categorías 3 ó 4^A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos ^A314.P5

Se requiere el registro de Cuentas Destino ^A314.P1, las cuales se habilitarán treinta minutos posteriores a su registro^A314.P5

Se pueden registrar en el mismo servicio usando un 2FA Categorías 3 ó 4^A313.F4, mediante firma autógrafa ^A313.F1.P2^, o en otro servicio ^A314.P1 con 2FA, Categorías 3 ó 4^A313.F4

Se pueden habilitar Cuentas Destino antes de los 30 minutos siempre y cuando las operaciones no excedan del equivalente a las Operaciones Monetarias de Baja Cuantía (250 UDIs) y 1,000 UDIs mensuales^A314.P6, para ello requieren autorización ^A314.P6

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos ^A314.P5

Las Cuentas Destino registradas por personas morales utilizando mecanismos mediante los cuales una persona realiza la solicitud de la operación y otra es quien la autoriza podrán quedar habilitadas antes de los 30 minutos^A313.P5. Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A313.P6

En el caso de personas morales y personas físicas con actividad empresarial, se podrá permitir el registro de un conjunto de Cuentas Destino considerándolo como una sola operación ^A314.P4

Notificaciones

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos^A316.B1.P1:

b) Pago de impuestos ^A316.B1.F2

c) Modificación de Contraseñas y NIPs ^A316.B1.F8

Asimismo, se podrá enviar la información del saldo de la cuenta a través de la notificación siempre y cuando la cuenta bancaria asociada al servicio sea nivel 2. ^A316.B1.P2

No se requieren notificaciones para las operaciones referidas en los incisos a) y b) en los siguientes casos:

a) El monto acumulado diario sea menor o igual a 600 UDIs ^A316.B1.P3

b) La operación sea menor o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes ^A316.B1.P3

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos ^A316.B1.P1:

b) Pago de impuestos ^A316.B1.F2

c) Modificación de límites de montos ^A316.B1.F3

d) Registro de Cuentas Destino ^A316.B1.F4

e) Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) ^A316.B1.F5

f) Contratación de otro servicio o modificación de condiciones en el uso ^A316.B1.F6

g) Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio ^A316.B1.F7

h) Modificación de Contraseñas y NIPs ^A316.B1.F8

Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos ^A316.B1.P1:

b) Pago de impuestos ^A316.B1.F2

c) Modificación de límites de montos ^A316.B1.F3

d) Registro de Cuentas Destino ^A316.B1.F4

e) Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) ^A316.B1.F5

f) Contratación de otro servicio o modificación de condiciones en el uso ^A316.B1.F6

g) Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio ^A316.B1.F7

h) Modificación de Contraseñas y NIPs ^A316.B1.F8

Límites de monto operativos

Se pueden realizar Operaciones Monetarias de hasta Mediana Cuantía (1,500 UDIs diarias) y 6,000 UDIs mensuales ^A315.P5

Para Operaciones de Micro Pagos, el saldo disponible de la cuenta asociada debe ser menor o igual a 250 UDIs ^A315.P5

Límite definido por el Usuario ^A315.P2 sin sobrepasar los límites establecidos por la propia Institución ^A315.P6

Se pueden realizar Operaciones hasta de Mediana Cuantía (1500 UDIs) sin preregistro de Cuentas Destino ^A314.P8

Para Operaciones de Micro Pagos, el saldo disponible de la cuenta asociada debe ser menor o igual a 250 UDIs ^A315.P5

Límite definido por el Usuario ^A315.P2 sin sobrepasar los límites establecidos por la propia Institución ^A315.P6

Se limitan a Operaciones Monetarias de Baja Cuantía (250 UDIs) y hasta 1,000 UDIs mensuales, a las Cuentas Destino que queden habilitadas antes de pasar 30 minutos desde su registro ^A314.P6, para ello requieren autorización ^A314.P6

Controles para establecer límites de monto aplicables al mismo canal o a otro

No es posible establecer o incrementar límites de monto en este servicio^A1

Proveer lo necesario para que los Usuarios establezcan límites de monto^A315.P2. Para establecer o incrementar, se requiere firma autógrafa ^A315.P1o un 2FA Categoría 3 ó 4 en el mismo servicioo en otro ^A313.F4

Para disminuir, mismo servicio con FA Categoría 2^A315.P3

Seguridad en el envío de Contraseñas y Números de Identificación Personal

Podrán implementar controles compensatorios para proteger la transmisión de Información Sensible del Usuario^{A316.B10.F1.P4}

Transmisión cifrada de Información Sensible del Usuario desde el Dispositivo de Acceso hasta su recepción por la Institución^A316.B10.F1

Activación / Desactivación Servicios

Los Usuarios deberán tener la opción de desactivar en forma temporal el servicio^A316.B5.P1 en el mismo servicio o en otro con un FA ^{A316.B5.P1,P2}

La reactivación se puede hacer en un centro de atención telefónica o usando los medios de contratación^A316.B5.P3

Los Usuarios deberán tener la opción de desactivar en forma temporal el servicio^A316.B5.P1 en el mismo servicio o en otro con un FA ^{A316.B5.P1,P2}

La reactivación se puede hacer en un centro de atención telefónica o usando los medios de contratación^A316.B5.P3

No aplica

b) Servicios de Banca Electrónica ofrecidos a través de Cajeros Automáticos y Terminales Punto de Venta

A=Artículo, P=Párrafo, B=Bis, F= Fracción, T= Transitorio

Concepto	Cajeros Automáticos	Terminal Punto de Venta
Resumen	Servicios de Banca Electrónica proporcionados a través de Dispositivos de Acceso de autoservicio que permiten realizar consultas y operaciones bancarias y al cual se accede mediante una tarjeta o cuenta bancaria ^A1 Deben contar con lectores que permitan obtener información de Tarjetas Bancarias con Circuito Integrado ^A316.B8 (Aplica A9T)	Servicios de Banca Electrónica proporcionados a través de Dispositivos de Acceso, tales como terminales de cómputo, teléfonos móviles y programas de cómputo, operados por comercios o Usuarios para el pago de bienes o servicios con cargo a una tarjeta o cuenta bancaria ^A1 Deben contar con lectores que permitan obtener información de Tarjetas Bancarias con Circuito Integrado ^A316.B8(Aplica A4T) Se puede exceptuar de lo anterior en caso de TPVs implementadas en teléfonos móviles y en aquellas en las que únicamente se acepten tarjetas emitidas por la Institución adquirente, previa autorización y pactando con sus Usuarios que asumirán los riesgos y los costos de las operaciones que no sean reconocidas. ^A316.B8

Concepto

Cajeros Automáticos

Terminal Punto de Venta

Resumen

Servicios de Banca Electrónica proporcionados a través de Dispositivos de Acceso de autoservicio que permiten realizar consultas y operaciones bancarias y al cual se accede mediante una tarjeta o cuenta bancaria ^A1

Deben contar con lectores que permitan obtener información de Tarjetas Bancarias con Circuito Integrado ^A316.B8 (Aplica A9T)

Servicios de Banca Electrónica proporcionados a través de Dispositivos de Acceso, tales como terminales de cómputo, teléfonos móviles y programas de cómputo, operados por comercios o Usuarios para el pago de bienes o servicios con cargo a una tarjeta o cuenta bancaria ^A1

Deben contar con lectores que permitan obtener información de Tarjetas Bancarias con Circuito Integrado ^A316.B8(Aplica A4T)

Se puede exceptuar de lo anterior en caso de TPVs implementadas en teléfonos móviles y en aquellas en las que únicamente se acepten tarjetas emitidas por la Institución adquirente, previa autorización y pactando con sus Usuarios que asumirán los riesgos y los costos de las operaciones que no sean reconocidas. ^A316.B8

Contratación	A través de uno de los siguientes: a) Con firma autógrafa ^A307.F1 b) En otro servicio utilizando un Segundo Factor de Autenticación (2FA) ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FA adicional en un periodo no menor a 30 minutos^A307.F2.P2 Tratándose de la operación de Cuentas Bancarias de los Niveles 1 a 3, no se requiere consentimiento mediante firma autógrafa para su uso^A307.F1.b) No se puede contratar otro servicio desde este medio con excepción del servicio de Pago Móvil^A307.F2.P3 Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados, con excepción de las operaciones y los servicios relacionados a cuentas bancarias nivel 1. ^A306.F1.c)	A través de uno de los siguientes: a) Con firma autógrafa ^A307.F1 b) En otro servicio utilizando un 2FA ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FAadicional en un periodo no menor a 30 minutos^A307.F2.P2 Tratándose de la operación de Cuentas Bancarias de los Niveles 1 a 3, no se requiere consentimiento mediante firma autógrafa para su uso^A307.F1.b) No se puede contratar otro servicio desde este mediocon excepción del servicio de Pago Móvil ^A307.F2.P3 Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados, con excepción de las operaciones y los servicios relacionados a cuentas bancarias nivel 1.^A306.F1.c)
Identificación de Usuario	Puede ser el número de tarjeta bancaria ^A308.P4	Puede ser el número de tarjeta bancaria ^A308.P4
Factores de Autenticación	Factor 2: Contraseña o NIP de 4 dígitos ^A310.F2.b).i más cualquiera de los siguientes: Factor 3: Contraseñas de un solo uso (OTP) ^A310.F3.P1 y Tarjetas Bancarias con Circuito Integrado ^A310.F3.P3 Asimismo se podrán usar Tarjetas Bancarias sin Circuito Integrado siempre y cuando las Instituciones que aprueben las operaciones asuman el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A310.F3.P4(Aplica A10T) Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros ^A310.F3.P6, para ello requieren autorización ^A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A310.F3.P7(Aplica A5T), ó; Factor 4: Biométricos^A310.F4.P1	Factor 2: Contraseña o NIP de 4 dígitos ^A310.F2.b).i más cualquiera de los siguientes: Factor 3: Contraseñas de un solo uso (OTP) ^A310.F3.P1 yTarjetas Bancarias con Circuito Integrado ^A310.F3.P3 Asimismo se podrán usar Tarjetas Bancarias sin Circuito Integrado siempre y cuando las Instituciones que aprueben las operaciones asuman el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A310.F3.P4 (Aplica A10T) Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros ^A310.F3.P6, para ello requieren autorización ^A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A310.F3.P7 (Aplica A5T), ó; Factor 4: Biométricos^A310.F4.P1
Impedir la lectura en pantalla de la información de Autenticación	Aplica^A309.F1	Aplica^A309.F1

Operaciones y uso de un 2FA Categoría 3 (OTP) ó 4 (Biométrico)

Operaciones permitidas utilizando un 2FA^A313.P1:

b) Pago de impuestos ^A313.F2

c) Establecimiento de límites de monto ^A313.F3

d) Registro de Cuentas Destino ^A313.F4

e) Alta del medio de notificación ^A313.F5

f) Consultas de estados de cuenta ^A313.F6

g) Desbloqueo de Contraseñas o NIPs ^A313.F8

h) Retiro de efectivo ^A313.F9

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa^A313.F1.P2

No se puede modificar el medio de notificación en este servicio ^A316.B1.P4

Los Cajeros Automáticos que las Instituciones pongan a disposición de los Usuarios para realizar operaciones deberán contar con lectores que obtengan la información directamente del circuito de las Tarjetas Bancarias con Circuito Integrado ^A316.B8(Aplica A9T)

Operaciones permitidas utilizando un 2FA^A313.P1:

b) Pago de impuestos ^A313.F2

c) Establecimiento de límites de monto ^A313.F3

d) Registro de Cuentas Destino ^A313.F4

e) Alta del medio de notificación ^A313.F5

f) Consultas de estados de cuenta ^A313.F6

g) Desbloqueo de Contraseñas o NIPs^A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 paraCuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa ^A313.F1.P2

Se pueden realizar pagos de hasta 70 UDIs sin necesidad de utilizar un FA^A313.P3 Se requiere autorización y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A313.P3

No se puede modificar el medio de notificación en este servicio ^A316.B1.P4

Las Terminales Punto de Venta que las Instituciones pongan a disposición de los Usuarios para realizar operaciones deberán contar con lectores que obtengan la información directamente del circuito de las Tarjetas Bancarias con Circuito Integrado ^A316.B8 (Aplica A4T), con excepción de las implementadas en teléfonos móviles y en aquellas en las que únicamente se realicen operaciones en las que el emisor de la tarjeta sea el mismo Banco adquirente, considerando asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas y obteniendo la previa autorización de la Comisión.^A316.B8.P2

Registro de Cuentas Destino	No requiere registro de Cuentas Destino^A314.P8	No requiere registro de Cuentas Destino^A314.P8
Notificaciones	Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos^A316.B1.P1: a) Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios ^A316.B1.F1 b) Pago de impuestos ^A316.B1.F2 c) Establecimiento de límites de monto ^A316.B1.F3 d) Registro de Cuentas Destino de terceros u otras Instituciones ^A316.B1.F4 e) Alta del medio de notificación ^A316.B1.F5 f) Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio ^A316.B1.F7 g) Modificación de Contraseñas y NIPs ^A316.B1.F8 h) Retiro de efectivo ^A316.B1.F9 No se requieren notificaciones para las operaciones referidas en los incisos a) y b) en los siguientes casos: a) El monto acumulado diario sea menor o igual a 600 UDIs^A316.B1.P3 b) La operación sea menor o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes^A316.B1.P3 ^{No se requerirá notificación respecto a las operaciones y los servicios relacionados con cuentas bancarias nivel 1.}^{A306.F1 c)}	Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos^A316.B1.P1: a) Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios ^A316.B1.F1 b) Pago de impuestos ^A316.B1.F2 c) Establecimiento de límites de monto ^A316.B1.F3 d) Registro de Cuentas Destino de terceros u otras Instituciones ^A316.B1.F4 e) Alta del medio de notificación ^A316.B1.F5 f) Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio ^A316.B1.F7 g) Modificación de Contraseñas y NIPs ^A316.B1.F8 No se requieren notificaciones para las operaciones referidas en los incisos a) y b) en los siguientes casos: a) El monto acumulado diario sea menor o igual a 600 UDIs^A316.B1.P3 b) La operación sea menor o igual a 250 UDIs y cuenten con esquemas de prevención de fraudes ^A316.B1.P3 No se requerirá notificación respecto a las operaciones y los servicios relacionados con cuentas bancarias nivel 1. ^A306.F1.c)
Límites de monto operativos	Límite de 1,500 UDIs diarias por cuenta ^A315.P4 Límite definido por la Institución cuando sean operaciones entre cuentas propias o a cuentas preregistradas ^A315.P4	No aplica
Controles para establecer límites de monto aplicables al mismo canal o a otro	Es posible establecer o incrementar mediante firma autógrafa ^A315.P1o con un 2FA Categoría 3 ó 4 en otro servicio^A313.F4 Para disminuir, mismo servicio con FA Categoría 2^A315.P3	Es posible establecer o incrementar mediante firma autógrafa ^A315.P1o con un 2FA Categoría 3 ó 4 en otro servicio^A313.F4 Para disminuir, mismo servicio con FA Categoría 2^A315.P3
Seguridad en el envío de Contraseñas y Números de Identificación Personal	Transmisión cifrada de Información Sensible del Usuario^A316.B10.F1	Transmisión cifrada de Información Sensible del Usuario^A316.B10.F1 (Aplica A7T)
Activación / Desactivación Servicios	No aplica	No aplica

c) Servicio de Banca Telefónica Audio Respuesta y Banca Telefónica Voz a Voz

A=Artículo, P=Párrafo, B=Bis, F= Fracción, T= Transitorio

Concepto	Banca Telefónica Audio Respuesta (IVR)	Banca Telefónica Voz - Voz
Resumen	Servicios y operaciones bancarias realizadas por el Usuario a través de un sistema telefónico de audio respuesta (IVR) ^A1 Uso de un Segundo Factor de Autenticación (2FA) para realizar Operaciones y Servicios bancarios ^A313.F1	Servicio mediante el cual el Usuario instruye vía telefónica a un representante para realizar operaciones a su nombre ^A1 La autenticación se realiza mediante cuestionarios que incluyen información que el Usuario conoce y la Institución valida ^A312.F1
Contratación	A través de uno de los siguientes: a) Con firma autógrafa ^A307.F1 b) En otro servicio utilizando un 2FA ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FAadicional en un periodo no menor a 30 minutos^A307.F2.P2 c) Centros de atención telefónica, siempre y cuando las operaciones que se puedan realizar no requieran un segundo factor de autenticación y sea para cuentas niveles 1 a 3 ^A307.F1.d)^{y F3} Tratándose de los servicios señalados en el artículo 307 fracción V, con cuentas originadoras niveles 2 y 3, se permite la contratación con mecanismos de identificación similares al utilizado para abrir la cuenta. ^A307.F5 Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias.^A307.F6 Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados^A306.F1.c)	A través de uno de los siguientes: a) Con firma autógrafa ^A307.F1 b) En otro servicio utilizando un 2FA ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FAadicional en un periodo no menor a 30 minutos^A307.F2.P2 c) Centros de atención telefónica, siempre y cuando las operaciones que se puedan realizar no requieran un segundo factor de autenticación y sea para cuentas niveles 1 a 3 ^{A307.F1.d) y F3} Tratándose de los servicios señalados en el artículo 307 fracción V, con cuentas originadoras niveles 2 y 3, se permite la contratación con mecanismos de identificación similares al utilizado para abrir la cuenta. ^A307.F5 Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias.^A307.F6 Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados^A306.F1.c)
Identificador de Usuario	Identificador único de Usuario ^A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud^A308.P3	Identificador único de Usuario^A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud^A308.P3
Factores de Autenticación	Factor 2: Contraseñas o NIP de 6 dígitos^A310.F2.b)^, más cualquiera de los siguientes: Factor 3: Contraseñas de un solo uso (OTP) ^A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros ^A310.F3.P6, para ello requieren autorización ^A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A310.F3.P7 (Aplica A5T), ó; Factor 4: Biométricos^A310.F4.P1	Factor 1: Información proporcionada a través de cuestionarios en centros de atención telefónica^A310.F1.P1 (Aplica A3T) Incluye información parcial de los FA categorías 2 o 3, proporcionada a operadores telefónicos, siempre que el usuario haya iniciado la llamada y la información sea utilizada para realizar operaciones de este servicio ^{A316.B4.F3.P2}

Concepto

Banca Telefónica

Audio Respuesta (IVR)

Banca Telefónica

Voz - Voz

Resumen

Servicios y operaciones bancarias realizadas por el Usuario a través de un sistema telefónico de audio respuesta (IVR) ^A1

Uso de un Segundo Factor de Autenticación (2FA) para realizar Operaciones y Servicios bancarios

^A313.F1

Servicio mediante el cual el Usuario instruye vía telefónica a un representante para realizar operaciones a su nombre ^A1

La autenticación se realiza mediante cuestionarios que incluyen información que el Usuario conoce y la Institución valida ^A312.F1

Contratación

A través de uno de los siguientes:

a) Con firma autógrafa ^A307.F1

b) En otro servicio utilizando un 2FA ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FAadicional en un periodo no menor a 30 minutos^A307.F2.P2

c) Centros de atención telefónica, siempre y cuando las operaciones que se puedan realizar no requieran un segundo factor de autenticación y sea para cuentas niveles 1 a 3 ^A307.F1.d)^{y F3}

Tratándose de los servicios señalados en el artículo 307 fracción V, con cuentas originadoras niveles 2 y 3, se permite la contratación con mecanismos de identificación similares al utilizado para abrir la cuenta. ^A307.F5

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias.^A307.F6

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados^A306.F1.c)

A través de uno de los siguientes:

a) Con firma autógrafa ^A307.F1

b) En otro servicio utilizando un 2FA ^A307.F2.P1.Asimismo, requiere confirmar la contratación utilizando un 2FAadicional en un periodo no menor a 30 minutos^A307.F2.P2

c) Centros de atención telefónica, siempre y cuando las operaciones que se puedan realizar no requieran un segundo factor de autenticación y sea para cuentas niveles 1 a 3 ^{A307.F1.d) y F3}

Las cuentas de nivel 1 no podrán asociarse a este tipo de servicio para realizar operaciones monetarias.^A307.F6

Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados^A306.F1.c)

Identificador de Usuario

Identificador único de Usuario ^A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud^A308.P3

Identificador único de Usuario^A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud^A308.P3

Factores de Autenticación

Factor 2: Contraseñas o NIP de 6 dígitos^A310.F2.b)^, más cualquiera de los siguientes:

Factor 3: Contraseñas de un solo uso (OTP) ^A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros ^A310.F3.P6, para ello requieren autorización ^A310.F3.P6 y deberán asumir el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas ^A310.F3.P7 (Aplica A5T), ó;

Factor 4: Biométricos^A310.F4.P1

Factor 1: Información proporcionada a través de cuestionarios en centros de atención telefónica^A310.F1.P1 (Aplica A3T)

Incluye información parcial de los FA categorías 2 o 3, proporcionada a operadores telefónicos, siempre que el usuario haya iniciado la llamada y la información sea utilizada para realizar operaciones de este servicio ^{A316.B4.F3.P2}

Impedir la lectura en pantalla de la información de Autenticación

Excepción, no se requiere enmascarar ^A309.F1

No aplica

Operaciones y uso de un 2FA Categoría 3 (OTP) ó 4 (Biométrico)

Operaciones permitidas utilizando un 2FA ^A313.P1:

b) Pago de impuestos ^A313.F2

c) Establecimiento e incremento de límites de monto ^A313.F3

d) Registro de Cuentas Destino ^A313.F4

e) Alta y modificación del medio de notificación ^A313.F5

f) Consultas de estados de cuenta ^A313.F6

g) Contratación de otro servicio ^A313.F7

h) Desbloqueo de Contraseñas o NIPs ^A313.F8

En el caso del inciso a), se podrá requerir un Factor de Autenticación (FA) Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa ^A313.F1.P2

Operaciones permitidas utilizando un FA Categoría 1 (Información en centros de atención telefónica)^A312.F1. Incluye información parcial de los FA categorías 2 o 3, proporcionada a operadores telefónicos, siempre que el usuario haya iniciado la llamada y la información sea utilizada para realizar operaciones de este servicio ^{A316.B4.F3.P2}. Requiere registro de cuentas mediante firma autógrafa ^A313.P3 o en otro servicio con 2FA, Categorías 3 ó 4^A314.P1:

b) Pago de impuestos ^A313.F2

c) Establecimiento e incremento de límites de monto ^A313.F3

d) Alta y modificación del medio de notificación ^A313.F5

e) Consultas de estados de cuenta ^A313.F6

f) Contratación de otro servicio (sólo Pago Móvil) ^A312.F2

g) Desbloqueo de Contraseñas o NIPs ^A313.F8

Registro de Cuentas Destino

Se requiere el registro de Cuentas Destino^A314.P1, las cuales se habilitarán treinta minutos posteriores a su registro^A314.P5

Se pueden registrar en el mismo servicio usando un 2FA Categorías 3 ó 4^A313.F4, mediante firma autógrafa ^A313.F1.P2, o en otro servicio ^A314.P1con 2FA, Categorías 3 ó 4^A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos ^A314.P5

Se requiere el registro de Cuentas Destino ^A314.P1, las cuales se habilitarán treinta minutos posteriores a su registro^A314.P5

No se pueden realizar registros de cuentas en este servicio^A314.P3

Se pueden registrar Cuentas Destino mediante firma autógrafa ^A313.F1.P2 o en otro servicio ^A314.P1 con 2FA, Categorías 3 ó 4^A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos ^A314.P5

Notificaciones	Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos^A316.B1.P1: a) Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios ^A316.B1.F1 b) Pago de impuestos ^A316.B1.F2 c) Alta y modificación de límites de montos ^A316.B1.F3 d) Registro de Cuentas Destino ^A316.B1.F4 e) Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) ^A316.B1.F5 f) Contratación de otro servicio o modificación de condiciones en el uso ^A316.B1.F6 g) Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio ^A316.B1.F7 h) Modificación de Contraseñas y NIPs ^A316.B1.F8	Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos^A316.B1.P1: a) Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios ^A316.B1.F1 b) Pago de impuestos ^A316.B1.F2 c) Ata y modificación de límites de montos ^A316.B1.F3 d) Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) ^A316.B1.F5 e) Contratación de otro servicio o modificación de condiciones en el uso ^A316.B1.F6 f) Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio ^A316.B1.F7
Límites de monto operativos	Límite definido por el Usuario sin sobrepasar los límites establecidos por las disposiciones o por la misma Institución ^A315.P6	Límite definido por el Usuario sin sobrepasar los límites establecidos por las disposiciones o por la misma Institución ^A315.P6
Controles para establecer límites de monto aplicables al mismo canal o a otro	Proveer lo necesario para que los Usuarios establezcan límites de monto^A315.P2. Para establecer o incrementar, se requiere firma autógrafa ^A315.P1o un 2FA Categoría 3 ó 4 en el mismo servicioo en otro ^A313.F4 Para disminuir, mismo servicio con FA Categoría 2^A315.P3	Proveer lo necesario para que los Usuarios establezcan límites de monto^A315.P2. Para establecer o incrementar, se requiere firma autógrafa ^A315.P1, en el mismo servicio con un FA categoría 1^A312.F1, con información parcial de un FA categoría 2 o 3 ^{A316.B4.F3.P2}, ó con 2FA Categoría 3 ó 4 en otro servicio ^A313.F4 Para disminuir, mismo servicio con FA Categoría 1^A315.P3
Seguridad en el envío de Contraseñas y Números de Identificación Personal	Podrán implementar controles compensatorios para proteger la transmisión de Información Sensible del Usuario^{A316.B10.F1.P4}	Podrán implementar controles compensatorios para proteger la transmisión de Información Sensible del Usuario^{A316.B10.F1.P4}
Activación / Desactivación Servicios	No aplica	No aplica

d) Banca Host to Host y otro servicio no especificado en las Disposiciones

A=Artículo, P=Párrafo, B=Bis, F= Fracción, T= Transitorio

Concepto	Banca Host to Host	Otro Servicio
Resumen	Conexión directa entre equipos de cómputo del Usuario y de la Institución, incluye aplicaciones conocidas como cliente-servidor ^A1(Aplica A8T) Servicios utilizados por personas morales o personas físicas con actividad empresarial Generalmente se utiliza para altos volúmenes de operaciones	Cualquier otro servicio de Banca Electrónica no definido en las presentes Disposiciones
Contratación	A través de uno de los siguientes: a) Con firma autógrafa ^A307.F1 b) En otro servicio utilizando un Segundo Factor de Autenticación (2FA) ^A307.F2.P1.Asimismo, requiere confirmar utilizando un 2FAadicional en un periodo no menor a 30 minutos^A307.F2.P2 Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados^A306.F1.c)	A través de uno de los siguientes: a) Con firma autógrafa ^A307.F1 b) En otro servicio utilizando un 2FA ^A307.F2.P1. Asimismo, requiere confirmar utilizando un 2FAadicional en un periodo no menor a 30 minutos^A307.F2.P2 Se deben establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados^A306.F1.c)
Identificador de Usuario	Identificador único de Usuario^A308.P2 definido por la Institución o por el propio Usuario de mínimo seis caracteres de longitud^A308.P3	Identificador único de Usuario^A308.P2 definido por la Institución o por el Usuario de mínimo seis caracteres de longitud^A308.P3
Factores de Autenticación	Factor 2: Contraseña o NIP de 6 dígitos ^A310.F2.b), más cualquiera de los siguientes: Factor 3: Contraseñas de un solo uso (OTP)^A310.F3.P1 o mecanismos para validar los equipos de cómputo autorizados por la Institución ^A310.F3.P5. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros ^A310.F3.P6, para ello requieren autorización ^A310.P6 y deberán asumir por escrito el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas^A310.P7 (Aplica A5T), ó; Factor 4: Biométricos^A310.F4.P1	Factor 2: Contraseñas o NIP de 6 dígitos^A310.F2.b), más cualquiera de los siguientes: Factor 3: Contraseñas de un solo uso (OTP) ^A310.F3.P1. Se podrán usar tablas aleatorias de Contraseñas con características que impidan su duplicación, información que no se pueda usar más de una vez y que la información no sea conocida por personal de la Institución o por terceros ^A310.F3.P6, para ello requieren autorización ^A310.F3.P6 y deberán asumir por escrito el riesgo y los costos de operaciones no reconocidas, abonando al Usuario antes de 48 horas^A310.P7(Aplica A5T), ó; Factor 4: Biométricos^A310.F4.P1
Impedir la lectura en pantalla de la información de Autenticación	Aplica^A309.F1	Aplica ^A309.F1

Operaciones y uso de un 2FA Categoría 3 (OTP) ó 4 (Biométrico)

Operaciones permitidas utilizando un 2FA^A313.P1:

b) Pago de impuestos ^A313.F2

c) Registro de Cuentas Destino ^A313.F4

d) Alta y modificación del medio de notificación ^A313.F5

e) Consultas de estados de cuenta ^A313.F6

f) Contratación de otro servicio ^A313.F7

g) Desbloqueo de Contraseñas o NIPs ^A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa ^A313.F1.P2

En el caso del inciso e), se podrán consultar estados de cuenta utilizando un FA Categoría 2 cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación correspondiente ^A313.F6.P3

Operaciones permitidas utilizando un 2FA^A313.P1:

b) Pago de impuestos ^A313.F2

c) Registro de Cuentas Destino ^A313.F4

d) Alta y modificación del medio de notificación ^A313.F5

e) Consultas de estados de cuenta ^A313.F6

f) Contratación de otro servicio ^A313.F7

g) Desbloqueo de Contraseñas o NIPs ^A313.F8

En el caso del inciso a), se podrá requerir un FA Categoría 2, 3 ó 4 para Cuentas Destino registradas en Oficinas Bancarias utilizando firma autógrafa ^A313.F1.P2

Registro de Cuentas Destino

No requiere registro de Cuentas Destino^A314.P8

Se requiere el registro de Cuentas Destino ^A314.P1, las cuales se habilitarán treinta minutos posteriores a su registro^A314.P5

Se pueden registrar en el mismo servicio usando un 2FA Categorías 3 ó 4^A313.F4, mediante firma autógrafa ^A313.F1.P2, o en otro servicio ^A314.P1 con 2FA, Categorías 3 ó 4^A313.F4

Las Cuentas Destino registradas mediante firma autógrafa podrán quedar habilitadas antes de los 30 minutos ^A314.P5

En el caso de personas morales y personas físicas con actividad empresarial, se podrá permitir el registro de un conjunto de Cuentas Destino considerándolo como una sola operación ^A314.P4

Notificaciones	No aplica ^A316.B1.P5	Se deberá notificar por el medio de comunicación proporcionado por el Usuario, en su caso, los siguientes eventos^A316.B1.P1: a) Transferencias a cuentas de terceros y otras Instituciones, incluyendo el pago de créditos y bienes o servicios, así como autorizaciones e instrucciones de domiciliación de pagos de bienes o servicios ^A316.B1.F1 b) Pago de impuestos ^A316.B1.F2 c) Modificación de límites de montos ^A316.B1.F3 d) Registro de Cuentas Destino ^A316.B1.F4 e) Alta y modificación del medio de notificación (al nuevo y al anterior, en caso de cambio) ^A316.B1.F5 f) Contratación de otro servicio o modificación de condiciones en el uso ^A316.B1.F6 g) Desbloqueo de Contraseñas y NIPs, así como reactivaciones del servicio ^A316.B1.F7 h) Modificación de Contraseñas y NIPs ^A316.B1.F8
Límites de monto operativos	No aplica	No aplica
Controles para establecer límites de monto aplicables al mismo canal o a otro	Para establecer o incrementar, se requiere firma autógrafa ^A315.P1o un 2FA Categoría 3 ó 4 en el mismo servicioo en otro ^A313.F4 Para disminuir, mismo servicio con FA Categoría 2^A315.P3	Para establecer o incrementar, se requiere firma autógrafa ^A315.P1o un 2FA Categoría 3 ó 4 en el mismo servicioo en otro ^A313.F4 Para disminuir, mismo servicio con FA Categoría 2^A315.P3
Seguridad en el envío de Contraseñas y Números de Identificación Personal	Transmisión cifrada de Información Sensible del Usuario^A316.B10.F1	Transmisión cifrada de Información Sensible del Usuario^A316.B10.F1
Activación / Desactivación Servicios	No aplica	No aplica

II. GENERALES

Disposición	Detalle
Definición Factores de Autenticación	Mecanismo de autenticación, basado en características del Usuario, dispositivos o información que sólo el Usuario posea o conozca^A1 Factor 1: Información proporcionada mediante la aplicación de cuestionarios en centros de atención telefónica^A1 Factor 2: Información que sólo el Usuario conoce, tales como: Contraseñas y Números de Identificación Personal^A1 Factor 3: Información que sólo el usuario tiene, tales como generadores de contraseñas de un solo uso (OTP) “Tokens” o Tarjetas Bancarias con Circuito Integrado Factor 4: Información biométrica. Huellas digitales, geometría de la mano^A1
Operaciones Monetarias	Transacción que implique transferencias de recursos dinerarios, las cuales podrán ser ^A1: Micro Pagos: 70 UDIs^A1 Baja Cuantía: 250 UDIs diarias^A1 Mediana Cuantía: 1,500 UDIs diarias^A1 Montos superiores a 1,500 UDIs diarias^A1
Comprobantes	Se deberá emitir un comprobante de cada una de las operaciones realizadas^A316.B
Sesiones Seguras	La Sesión debe terminarse en forma automática cuando se detecte^A316.B2.F1: -- Inactividad del Usuario por más de veinte minutos^{A316.B2.F1.a)} -- Cuando existan cambios relevantes en la conexión del servicio de Banca por Internet^{A316.B2.F1.b)} Deben evitarse sesiones simultáneas^A316.B2.F2 y se debe advertir al Usuario en caso de enlaces a servicios de terceros^A316.B2.F3
Equipos Electrónicos o de Telecomunicaciones Dispuestos por la Institución	Adoptar medidas que impidan la instalación de dispositivos o programas que permitan que la información del Usuario sea copiada o modificada por terceros ^A316.B6.F1 Contar con procedimientos que permitan correlacionar la información de las operaciones no reconocidas por los clientes con la operativa de los equipos y del personal que los administra ^A316.B6.F2 (Aplica A2T)
Base de Datos Operaciones no Reconocidas	Deberán mantener bases de datos con información de incidencias, fallas y vulnerabilidades, así como operaciones no reconocidas por los Usuarios^A316.B14
Centros de Atención Telefónica	Los centros de atención telefónica deberán mantener controles de seguridad física y lógica para evitar que la información de los clientes pueda ser extraída o copiada^A316.B7.F1, delimitar funciones de operadores ^A316.B7.F2 y evitar el uso de medios diferentes a los autorizados^A316.B7.F3
Cifrado	En la transmisión y almacenamiento de Información Sensible del Usuario, deberán utilizarse mecanismos de Cifrado con llaves criptográficas^A316.B10.F1. Adicionalmente, las llaves criptográficas y el proceso de Cifrado y descifrado deberán estar instalados en dispositivos de alta seguridad (HSM) ^A316.B10.F4

Reporte de eventos de pérdida de información	En caso de que la Información Sensible del Usuario sea extraída, extraviada o se sospeche de algún incidente de acceso no autorizado, deberán^A316.B12: -- Dar aviso por escrito a esta Comisión en cinco días naturales^A316.B12.F1 -- Realizar una investigación, enviando los resultados a esta Comisión a los cinco días naturales de concluida y notificar a los Usuarios afectados, en su caso^A316.B12.F2
Prevención de Fraudes	Deberán mantener mecanismos de control para detección de eventos que se aparten de los parámetros de uso habitual de los Usuarios^A316.B13
Bitácoras	Deberán mantener registros, bitácoras, huellas de auditoría y grabaciones de voz relativos a^A316.B15.F1: -- Accesos a los Medios Electrónicos^{A316.B15.F1.a)} -- Datos de las operaciones realizadas (fechas, horas, dispositivos de acceso)^{A316.B15.F1.b) y c)} Deberán mantener controles para que la información registrada en los equipos críticos de cómputo y telecomunicaciones utilizados en las operaciones de Banca Electrónica sea consistente. ^A316.B15.F2
Revisiones de Seguridad	Anualmente, deberán realizar revisiones de seguridad que comprendan^A316.B17: -- Mecanismos de Autenticación^A316.B17.F1 -- Configuración y control de acceso de la Infraestructura de Cómputo y Telecomunicaciones^A316.B17.F2 -- Actualizaciones de software (parches)^A316.B17.F3 -- Análisis de vulnerabilidades^A316.B17.F4 -- Identificación de modificaciones al software original^A316.B17.F5 -- Infraestructura tecnológica, sistemas y procesos asociados a os Medios Electrónicos^A316.B17.F6 -- Análisis metódico de aplicativos críticos relacionados con servicios de Banca Electrónica^A316.B17.F7 Adicionalmente, deberán mantener esquemas de monitoreo permanente^A316.B17.P4
Acciones correctivas	Deberán implementar las acciones correctivas que la Comisión les requiera, como resultado de la identificación de riesgos asociados con el uso de los servicios de Banca Electrónica ^A316.B21
Medidas preventivas y detección	La Dirección General deberá asegurar que la Institución cuenta con medidas preventivas, de detección, disuasivas y procedimientos de respuesta a incidentes de seguridad, controles y medidas de seguridad informática para mitigar amenazas, vulnerabilidades derivadas del uso de la Banca Electrónica y que puedan afectar las operaciones de la Institución ^A316.B20
Acciones contingentes	La Comisión podrá autorizar que las Instituciones realicen operaciones en términos distintos a los establecidos en las Disposiciones en caso de catástrofes naturales o situaciones que afecten la adecuada oferta a nivel nacional de operaciones o servicios bancarios que justifiquen el uso masivo de los Medios Electrónicos en forma temporal ^A316.B22