DISPOSICIONES de carácter general aplicables a las instituciones para el depósito de valores DISPOSICIONES de carácter general aplicables a las instituciones para el depósito de valores.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.
La Comisión Nacional Bancaria y de Valores, con fundamento en los artículos 279 y 280, fracciones I, inciso b) y II de la Ley del Mercado de Valores; así como 4, fracciones III, XXXVI y XXXVIII, 16, fracción I y 19 de la Ley de la Comisión Nacional Bancaria y de Valores, y
CONSIDERANDO
Que la Ley del Mercado de Valores establece la facultad de la Comisión Nacional Bancaria y de Valores para emitir disposiciones aplicables a las instituciones para el depósito de valores en materia de controles internos, administración de riesgos, prevención de conflictos de interés, prácticas societarias y de auditoría, transparencia y equidad respecto de los servicios que ofrecen, por lo que resulta necesario robustecer el marco regulatorio secundario aplicable a estas entidades financieras que procure la mejor actuación en la prestación de sus servicios en beneficio del mercado de valores en su conjunto;
Que por otra parte, es oportuno prever que las instituciones para el depósito de valores cuenten con las medidas necesarias que les permitan prevenir posibles conflictos de interés, así como establecer expresamente la obligación para que dichas instituciones otorguen un trato equitativo en la realización de sus actividades y en la prestación de sus servicios a fin de otorgar un trato irrestricto de igualdad entre los participantes del mercado de valores a fin de propiciar la transparencia y fomentar un mercado de valores más profundo;
Que adicionalmente, se estima conveniente prever los controles, políticas y procedimientos con los que deberán contar las instituciones para el depósito de valores a fin de que sus sistemas informáticos incorporen los mecanismos necesarios que les permitan soportar sus procesos y llevar a cabo sus operaciones y la prestación de sus servicios de manera segura y eficiente;
Que en ese tenor, es imprescindible señalar una serie de medidas que deberán implementar las instituciones para el depósito de valores a fin de procurar la continuidad de sus operaciones críticas en situaciones de contingencia que dificulten o inhabiliten la realización de sus operaciones y la prestación de sus servicios, así como incorporar las normas relativas tanto a la identificación de las posibles fuentes de riesgo de las mencionadas contingencias, como a las estrategias a establecer para responder a ellas, considerando las lecciones aprendidas con motivo de situaciones de emergencia en México y en otros países, y
Que resulta oportuno expedir un solo instrumento jurídico que contenga las disposiciones aplicables a las instituciones para el depósito de valores, sistematizando su integración y homologando la terminología utilizada, a fin de brindar con ello certeza jurídica en cuanto al marco normativo al que las mencionadas instituciones deberán sujetarse en el desarrollo de sus operaciones, lo que también habrá de facilitar la consulta, cumplimiento y observancia de las disposiciones que les resultan aplicables, por lo que igualmente se incluyen las normas atinentes a los servicios que las instituciones para el depósito de valores pueden contratar con instituciones de crédito del exterior o instituciones para el depósito de valores extranjeras, así como las reglas relativas a la revelación y presentación de la información financiera, ha resuelto expedir las siguientes:
DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS INSTITUCIONES PARA EL DEPÓSITO
DE VALORES
TÍTULO PRIMERO
Disposiciones generales
Capítulo Único
Definiciones
TÍTULO SEGUNDO
De la información financiera
Capítulo Único
De la información financiera en general
TÍTULO TERCERO
De la prestación de servicios
Capítulo I
De las características de las entidades, instituciones y personas a las que las instituciones para el depósito
de valores podrán otorgar sus servicios
Capítulo II
De los servicios que las instituciones para el depósito de valores pueden contratar con instituciones de crédito del exterior o instituciones para el depósito de valores extranjeras
Capítulo III
De la conducta de negocios
TÍTULO CUARTO
De las disposiciones prudenciales
Capítulo I
De la administración y control de la Infraestructura Tecnológica
Capítulo II
Del Plan de Continuidad de Negocio
Capítulo III
De la administración de la liquidez de la tesorería
Capítulo IV
Regulación adicional
Anexo 1 Requerimientos mínimos del Plan de Continuidad de Negocio.
TÍTULO PRIMERO
Disposiciones generales
Capítulo Único
Definiciones
Artículo 1.- Para efectos de las presentes disposiciones, se entenderá por:
I. Comisión: a la Comisión Nacional Bancaria y de Valores.
II. Contingencia Operativa: a cualquier evento que dificulte, inhabilite o impida a una institución para el depósito de valores a prestar los servicios o llevar a cabo las actividades a que alude el artículo 280 de la Ley.
III. Infraestructura Tecnológica: a la infraestructura de cómputo, redes de telecomunicaciones, sistemas operativos, bases de datos, software y aplicaciones que utilizan las instituciones para el depósito de valores para soportar su operación.
IV. Ley: a la Ley del Mercado de Valores.
V. Plan de Continuidad de Negocio: al conjunto de estrategias, procedimientos y acciones a que hace referencia el artículo 26 de estas disposiciones que permitan la continuidad en la prestación de los servicios o en la realización de los procesos críticos de las instituciones para el depósito de valores ante Contingencias Operativas o bien, su restablecimiento oportuno, así como la mitigación de las afectaciones producto de dichas contingencias.
VI. Registro: al Registro Nacional de Valores a que se refiere la Ley.
TÍTULO SEGUNDO
De la información financiera
Capítulo Único
De la información financiera en general
Artículo 2.- Los estados financieros de las instituciones para el depósito de valores deberán ser elaborados de acuerdo con alguna de las opciones siguientes:
I. Normas Internacionales de Información Financiera "International Financial Reporting Standards" que emita el Consejo de Normas Internacionales de Contabilidad "International Accounting Standards
Board".
II. Normas de Información Financiera que reconozca y emita el Consejo Mexicano de Normas de Información Financiera, A.C.
Artículo 3.- Los estados financieros a que se refiere el artículo anterior, deberán ser dictaminados por un auditor externo independiente con base en las Normas Internacionales de Auditoría "International Standards on Auditing" emitidas por el Consejo de Normas Internacionales de Auditoría y Atestiguamiento "International Auditing and Assurance Standards Board" de la Federación Internacional de Contadores "International Federation of Accountants".
La Comisión podrá establecer requerimientos adicionales que deban satisfacer las auditorías externas, atendiendo a la problemática particular que presente la institución para el depósito de valores.
Artículo 4.- Las instituciones para el depósito de valores deberán remitir a la Comisión, dentro de los veinte días naturales de cada mes los estados financieros correspondientes al mes inmediato anterior, suscritos por el director general y el titular del área de finanzas o su equivalente.
Artículo 5.- Las instituciones para el depósito de valores deberán remitir a la Comisión, a más tardar en un plazo de sesenta días naturales posteriores al cierre de su ejercicio social, los estados financieros anuales suscritos por el director general y el titular del área de finanzas o su equivalente, acompañados del dictamen del auditor externo independiente.
TÍTULO TERCERO
De la prestación de servicios
Capítulo I
De las características de las entidades, instituciones y personas a las que las instituciones para el depósito de
valores podrán otorgar sus servicios
Artículo 6.- Las instituciones para el depósito de valores podrán otorgar sus servicios, además de a las personas que se establecen en el artículo 280, fracciones I y II de la Ley, a las siguientes:
I. Aquellas instituciones de nacionalidad extranjera encargadas del depósito, guarda, administración, compensación, liquidación y transferencia de valores, que cuenten con sistemas automatizados para el manejo de los valores, tanto local como internacionalmente.
II. Bolsas de valores del exterior.
III. Otras entidades cuyos estatutos identifiquen expresamente en su objeto la prestación de cualquiera de los servicios de depósito, guarda, administración, compensación, liquidación o transferencia de valores.
Artículo 7.- Las personas a que se refiere el artículo anterior deberán estar constituidas y organizadas conforme a las leyes del país en el que se encuentren domiciliadas, contar con autorización para la realización de sus actividades y estar sujetas a la inspección y vigilancia de una autoridad que realice funciones similares a las de la Comisión.
Artículo 8.- Las instituciones para el depósito de valores deberán verificar que las personas a que alude el artículo 6 de las presentes disposiciones reúnan las características señaladas en el artículo 7 anterior, previamente a la firma del contrato en el que se formalice la relación jurídica entre unas y otras. Será responsabilidad de las instituciones para el depósito de valores que los contratos correspondientes se apeguen a las disposiciones legales, reglamentarias y administrativas que rigen su funcionamiento.
Artículo 9.- Las instituciones para el depósito de valores además de otorgar los servicios de depósito, guarda, administración, compensación, liquidación y transferencia de valores inscritos en el Registro a favor de entidades financieras nacionales o extranjeras, conforme a la Ley, podrán proporcionar sus servicios a:
I. Sociedades que administran mecanismos electrónicos de negociación de acciones de fondos de inversión autorizadas por la Comisión de conformidad con lo dispuesto en el artículo 40, cuarto párrafo de la Ley de Fondos de Inversión, siempre que las instituciones para el depósito de valores únicamente abran cuentas a favor de dichas sociedades por cuenta de terceros.
II. Fideicomisos que funjan como cámara de compensación de contratos de derivados en términos de las "Reglas a las que habrán de sujetarse los participantes del mercado de contratos de derivados"
expedidas por la Secretaría de Hacienda y Crédito Público, el Banco de México y la Comisión y publicadas en el Diario Oficial de la Federación el 31 de diciembre de 1996 y sus respectivas modificaciones.
Artículo 10.- Cuando algún valor sea cancelado del sistema internacional de cotizaciones que establezcan las bolsa de valores a que se refiere la Ley, las instituciones para el depósito de valores podrán continuar prestando sus servicios respecto de los valores de que se trate, pero en ningún caso admitirán nuevos depósitos de los mismos valores mientras estos no vuelvan a listarse en el referido sistema.
Como excepción a lo señalado en el párrafo anterior, las instituciones para el depósito de valores únicamente podrán aceptar nuevos depósitos cuando dicho aumento se derive de un pago de derechos en especie decretado por la emisora o de un evento corporativo.
Artículo 11.- Las instituciones para el depósito de valores el día en que tengan conocimiento de ello, deberán proporcionar a las bolsas de valores de manera simultánea y a través de medios electrónicos que dejen prueba fehaciente, la información relacionada con el ejercicio de derechos patrimoniales que deriven de los valores extranjeros listados en el sistema internacional de cotizaciones que establezcan las bolsas de valores y respecto de los cuales se les preste a las propias instituciones para el depósito de valores los servicios de depósito, la cual deberá incluir el pago de dividendos o distribuciones, aumentos o disminuciones del capital social o del número de valores, entre otra. Para efectos de dar cumplimiento a lo anterior, las instituciones para el depósito de valores podrán celebrar contratos con proveedores de información, instituciones de crédito del exterior o con instituciones para el depósito de valores extranjeras, en los cuales dichas entidades queden obligadas a la entrega de la información suficiente y oportuna relacionada con el ejercicio de los derechos patrimoniales de los valores listados en dichos sistemas internacionales de cotizaciones.
La información que den a conocer las instituciones para el depósito de valores sobre el ejercicio de derechos patrimoniales de valores extranjeros listados en el sistema internacional de cotizaciones que establezcan las bolsas de valores, dependerá exclusivamente de la información que las entidades antes señaladas les proporcionen. Lo anterior, sin perjuicio de la responsabilidad de las instituciones para el depósito de valores por cualquier error, omisión o retraso en la entrega de la información a las bolsas de valores, por causas imputables a dichas instituciones, incluyendo fallas o interrupciones en sus sistemas de información.
Sin perjuicio de lo anterior, cuando las instituciones para el depósito de valores cuenten con elementos para considerar que la información que les fue proporcionada presente discrepancias, procederán de conformidad con los términos que dichas instituciones establezcan en su normatividad interna.
Artículo 12.- Las instituciones para el depósito de valores deberán publicar en su página de Internet el catálogo actualizado de tipos de valor sobre los que presten sus servicios de depósito, guarda, administración, compensación, liquidación y transferencia y mantenerlo actualizado, debiendo informarlo de manera simultánea a la Comisión, bolsas de valores, intermediarios del mercado de valores, proveedores de precios y cámaras de compensación de contratos de derivados, contrapartes centrales de valores y demás participantes del mercado, con por lo menos treinta días hábiles de anticipación.
Capítulo II
De los servicios que las instituciones para el depósito de valores pueden contratar con instituciones de crédito
del exterior o instituciones para el depósito de valores extranjeras
Artículo 13.- Las instituciones para el depósito de valores podrán contratar los servicios de depósito, guarda, administración, compensación, liquidación y transferencia de valores que tengan depositados, así como la prestación de otros servicios inherentes a las funciones que les son propias, incluyendo los servicios relacionados con la proveeduría de información relativa al ejercicio de derechos patrimoniales de los valores extranjeros listados en el sistema internacional de cotizaciones que las bolsas de valores establezcan, tanto con instituciones de crédito del exterior como con instituciones para el depósito de valores extranjeras, que ofrezcan dichos servicios y que reúnan las características que se establecen en las presentes disposiciones.
En los contratos que celebren las instituciones para el depósito de valores con las instituciones a que se refiere el párrafo anterior, no podrán establecerse acuerdos de exclusividad.
Artículo 14.- Las instituciones de crédito del exterior e instituciones para el depósito de valores extranjeras que celebren contratos con instituciones para el depósito de valores, deberán estar constituidas y organizadas
conforme a las leyes del país en el que se encuentren domiciliadas, contar con autorización para la realización de sus actividades y estar sujetas a la inspección y vigilancia de una autoridad especializada.
Artículo 15.- Las instituciones para el depósito de valores únicamente podrán contratar los servicios de las instituciones a que se refiere el artículo 14 anterior, siempre que estas últimas cuenten con sistemas automatizados para el manejo centralizado de valores.
Artículo 16.- Las instituciones para el depósito de valores deberán revisar los estados financieros auditados de las instituciones de crédito del exterior e instituciones para el depósito de valores extranjeras correspondientes a cada ejercicio fiscal, durante el plazo en que mantengan valores en depósito en dichas instituciones, con el fin de corroborar su solidez financiera, como condición para la firma y, en su caso, para la vigencia del contrato.
Artículo 17.- Las instituciones para el depósito de valores, para la celebración de un contrato con una institución de crédito del exterior o bien, con una institución para el depósito de valores extranjera, deberán verificar que se cumplan con los requisitos siguientes:
I. Que en los contratos a celebrarse se contemplen las obligaciones siguientes:
a) La realización de auditorías externas, así como la obligación de entregar a las instituciones para el depósito de valores los estados financieros auditados durante la vigencia del contrato.
b) La definición de procedimientos que permitan la entrega o reposición de los valores a las instituciones para el depósito de valores, en caso de que la institución de crédito del exterior o la institución para el depósito de valores extranjera de que se trate, entre en estado de concurso mercantil o liquidación, o equivalente, o bien cuando los llegare a extraviar, le fueren robados o sean destruidos.
c) La prohibición legal de que los valores custodiados puedan ser tomados por la institución de crédito del exterior o por la institución para el depósito de valores extranjera de que se trate o por sus acreedores para cubrir algún tipo de derecho, deuda, reclamo judicial o gravamen y la existencia de sistemas que impidan que ello ocurra.
II. La existencia de una previsión legal en el sentido de que los valores de los clientes custodiados al amparo del contrato que se celebre, se mantengan adecuadamente segregados respecto del patrimonio de la institución de crédito del exterior o de la institución para el depósito de valores extranjera de que se trate.
III. La existencia de una previsión legal relativa a la existencia de un régimen para la libre convertibilidad de divisas en el país en que se encuentre domiciliada la institución de crédito del exterior o la institución para el depósito de valores extranjera de que se trate.
IV. La acreditación de un adecuado desempeño de la institución de crédito del exterior o de la institución para el depósito de valores extranjera correspondiente, conforme a los criterios que para tales efectos establezcan las instituciones para el depósito de valores en su normativa interna.
V. La seguridad, transparencia, eficiencia y automatización en la prestación de los servicios de la institución de crédito del exterior o de la institución para el depósito de valores extranjera de que se trate.
Artículo 18.- Las instituciones para el depósito de valores en la contratación de los servicios a que se refiere el artículo 13 de estas disposiciones, deberán celebrar un contrato de prestación de servicios con la institución de crédito del exterior o con la institución para el depósito de valores extranjera de que se trate, siendo responsabilidad de las primeras que dicho contrato se apegue a las disposiciones legales, reglamentarias y administrativas que rigen su funcionamiento.
Artículo 19.- Las instituciones para el depósito de valores deberán presentar a la Comisión los contratos que pretendan celebrar al amparo del presente Capítulo, así como sus respectivas modificaciones con diez días hábiles de anticipación a la fecha de su celebración, acreditando el cumplimiento de las presentes disposiciones y precisando los motivos en los que se sustentó la elección de la institución de que se trate. La propia Comisión podrá objetar los citados contratos o sus modificaciones, dentro del plazo a que se refiere el presente artículo, cuando no se ajusten o contravengan lo establecido en el presente ordenamiento legal y demás disposiciones aplicables.
Artículo 20.- Las instituciones para el depósito de valores deberán traspasar los valores que mantengan
depositados en una institución de crédito del exterior o en una institución para el depósito de valores extranjera hacia otra institución que satisfaga los requisitos previstos en el presente Capítulo, cuando a su juicio exista riesgo para la seguridad de los valores depositados, de las propias instituciones para el depósito de valores o de sus depositantes.
Capítulo III
De la conducta de negocios
Artículo 21.- Las instituciones para el depósito de valores deberán establecer previa aprobación de su consejo de administración con el voto favorable de la mayoría de los consejeros independientes, las medidas necesarias para prevenir conflictos de interés que pudieran originarse en relación con sus depositantes y demás participantes del mercado a quienes ofrezcan sus servicios.
Artículo 22.- Las instituciones para el depósito de valores deberán establecer las mismas condiciones, así como un trato irrestricto de igualdad entre y para los depositantes y demás participantes del mercado de valores a quienes ofrezcan sus servicios. Adicionalmente, deberán asegurar una comunicación y conexión eficiente con estos, incluyendo la disponibilidad e igualdad de la información que, en su caso, pueda ser difundida a los respectivos participantes del mercado.
Adicionalmente, las instituciones para el depósito de valores deberán asegurarse de que sus sistemas informáticos permitan una comunicación y conexión eficiente con las personas a que se refiere el párrafo anterior, apegándose en caso de presentarse Contingencias Operativas, a lo establecido en los Planes de Continuidad de Negocio que para tal efecto establezcan.
TÍTULO CUARTO
De las disposiciones prudenciales
Capítulo I
De la administración y control de la Infraestructura Tecnológica
Artículo 23.- Las instituciones para el depósito de valores deberán elaborar, documentar e implementar las políticas y procedimientos necesarios a fin de que la Infraestructura Tecnológica que utilicen para realizar sus procesos y prestar sus servicios, cumpla con lo siguiente:
I. Cada elemento de la Infraestructura Tecnológica realice en todo momento las funciones para el que fue diseñado, desarrollado o adquirido.
II. Incluyan controles que permitan un acceso equitativo y oportuno a todos sus usuarios de conformidad con lo que realizará cada uno de ellos en los sistemas informáticos a los que tenga acceso.
III. Cuente con procesos, funcionalidades y configuraciones documentadas, incluyendo su metodología de desarrollo o adquisición, así como los registros de sus cambios y el inventario de todos los elementos de la Infraestructura Tecnológica.
IV. Incorpore aspectos de seguridad de la información y un mecanismo de control de proyectos de cada elemento de la Infraestructura Tecnológica durante las diversas etapas del ciclo de vida, considerando la elaboración de requerimientos, diseño, desarrollo o adquisición, pruebas de implementación, procesos de liberación, pruebas periódicas, gestión de cambios, reemplazo y destrucción de información. Dichos aspectos de seguridad deberán incluir, al menos:
a) Segregación lógica y física de las diferentes redes en distintos dominios dependiendo de la función que desarrollen o el tipo de datos que se transmitan.
b) Configuración segura de acuerdo con el tipo de elemento, considerando al menos, puertos, servicios, permisos, listas de acceso, actualizaciones del fabricante y configuración de fábrica.
V. Cada elemento de la Infraestructura Tecnológica sea probado antes de ser implementado o al ser modificado, utilizando mecanismos de control de calidad que eviten que en dichas pruebas se utilicen datos reales del ambiente de producción, se revele información sensible o de seguridad, o que se introduzca cualquier funcionalidad no reconocida para dicho elemento.
VI. Cuenten con las licencias o autorizaciones de uso que sean necesarias.
VII. Contengan estrictas medidas de seguridad para el acceso y uso de la información que sea transmitida, almacenada y procesada en la Infraestructura Tecnológica que lo soporta, considerando al menos lo siguiente:
a) Mecanismos de identificación y autenticación de todos y cada uno de los usuarios de la Infraestructura Tecnológica de las instituciones para el depósito de valores que permitan reconocerlos de forma inequívoca y aseguren el acceso únicamente a las personas autorizadas expresamente para ello. Ambos mecanismos deberán incluir controles específicos para aquellos usuarios con mayores privilegios, derivados de sus funciones, tales como las de administración de bases de datos y de sistemas operativos.
b) Permitir la segregación de funciones mediante el establecimiento de perfiles de usuarios que limiten los accesos únicamente a la funcionalidad de la Infraestructura Tecnológica e información requerida, con base en las responsabilidades y facultades del puesto de cada usuario.
c) Mecanismos de cifrado de la información conforme al grado de sensibilidad que las instituciones para el depósito de valores determinen, cuando dicha información sea transmitida o almacenada.
d) Composición robusta de contraseñas y claves de acceso.
e) Control de sesiones no atendidas, así como de sesiones simultáneas con un mismo identificador de usuario.
f) Mecanismos de seguridad, tanto de acceso físico, como ambientales y de energía eléctrica, que protejan y permitan la operación conforme a las especificaciones del proveedor, fabricante o desarrollador de cada elemento de la Infraestructura Tecnológica de las instituciones para el depósito de valores.
VIII. Minimicen el riesgo de interrupción de la operación con base en mecanismos de respaldo y procedimientos de recuperación de la información, así como de la Infraestructura Tecnológica y los medios alternos para el intercambio de información, conforme al artículo 26 de las presentes disposiciones.
IX. Mantengan registros de auditoría, incluyendo la información detallada de los accesos y la operación o actividad efectuadas por los usuarios, que eviten su repudio, con independencia del nivel de privilegios con el que este cuente para el acceso, generación o modificación de la información que reciba, genere, almacene o transmita en cada elemento de la Infraestructura Tecnológica, así como los procedimientos para la revisión periódica de dichos registros.
X. Contemplen la realización de pruebas tendientes a detectar vulnerabilidades y amenazas, así como de penetración en los diferentes elementos de su Infraestructura Tecnológica, a fin de implementar mecanismos de defensa que prevengan el acceso y uso no autorizado de esta. Dichas pruebas se realizarán cuando menos una vez al año o cuando efectúen modificaciones sustantivas en algún elemento de la Infraestructura Tecnológica.
XI. Procesos de reacción y manejo de incidentes de seguridad que aseguren la detección, clasificación, atención, investigación, diagnóstico, reporte a niveles jerárquicos competentes, solución, seguimiento y comunicación de dichos incidentes.
XII. Cuenten con ejercicios de planeación que permitan medir la capacidad de la Infraestructura Tecnológica que soporta su operación, definidos por las propias instituciones para el depósito de valores, así como que se apeguen a los resultados de dichos ejercicios respecto de las necesidades de incremento de capacidad.
XIII. Contemplen controles automatizados que minimicen el riesgo de que el personal usuario cometa errores u omisiones en los procesos manuales o semi-automatizados que deban realizar en los aplicativos de la Infraestructura Tecnológica.
XIV. Permitan detectar la alteración o falsificación de registros en la Infraestructura Tecnológica.
XV. Implementen mecanismos que midan y aseguren niveles de disponibilidad y tiempos de respuesta, que garanticen la ejecución de las operaciones y servicios realizados.
Artículo 24.- Las instituciones para el depósito de valores deberán establecer e implementar políticas y procedimientos de clasificación de la información y su tratamiento, de acuerdo con el grado de riesgo que dicha información implique y que será determinado por cada una de sus áreas operativas. Dicha clasificación deberá utilizarse para evaluar e implementar los controles necesarios en la Infraestructura Tecnológica y en los procesos operativos, con el fin de procurar la confidencialidad, integridad y disponibilidad de la información de las instituciones para el depósito de valores y de los participantes.
Artículo 25.- Las instituciones para el depósito de valores deberán designar a una persona que se desempeñe como oficial de seguridad de la información, quien deberá gozar de independencia respecto de las áreas de operación, administrativas, de auditoría y de sistemas, y tendrá a su cargo, al menos, las funciones que se mencionan a continuación:
I. Autorizar y vigilar los accesos a los sistemas informáticos de la institución para el depósito de valores, incluyendo aquella utilizada para el almacenamiento, procesamiento y transmisión de información, de acuerdo con el perfil que corresponda a cada tipo de usuario.
II. Participar en la definición de políticas y procedimientos de seguridad, mencionadas en el artículo 23 de estas disposiciones.
III. Revisar al menos trimestralmente, o antes en caso de eventos o incidentes de seguridad, las actividades realizadas por los usuarios y por los prestadores de servicios en los diferentes elementos de la Infraestructura Tecnológica de las instituciones para el depósito de valores, incluyendo al personal técnico que cuenten con altos privilegios, tales como administración de sistemas operativos y de bases de datos.
IV. Verificar la implementación y continuo cumplimiento de políticas y procedimientos de seguridad de la información en la Infraestructura Tecnológica de las instituciones para el depósito de valores, contemplando, al menos, los incluidos en el artículo 23 de estas disposiciones.
Las instituciones para el depósito de valores deberán asegurarse de que el oficial de seguridad de la información tenga a su disposición los registros de las personas que cuenten con acceso a la información relacionada con las operaciones en las que intervienen las propias instituciones para el depósito de valores, incluyendo los de aquellas que se encuentren en el extranjero y de los usuarios que cuenten con altos privilegios, tales como administración de sistemas operativos y de bases de datos, así como de sus prestadores de servicio.
Capítulo II
Del Plan de Continuidad de Negocio
Artículo 26.- Las instituciones para el depósito de valores deberán elaborar planes de acción y contingencia para restablecer su operación en caso de presentarse una Contingencia Operativa, los cuales deberán incluirse en el Plan de Continuidad de Negocio. Dichos planes deberán ser acordes con la criticidad de los procesos de negocio y con el análisis de impacto al negocio a que hace referencia la fracción I del Anexo 1 de estas disposiciones.
Artículo 27.- El director general de las instituciones para el depósito de valores deberá elaborar el Plan de Continuidad de Negocio observando al efecto lo establecido en el Anexo 1 de estas disposiciones. Dicho plan y sus modificaciones serán presentados para aprobación del consejo de administración a través del comité de auditoría.
El director general será responsable de:
I. La implementación, así como la continua actualización y difusión del Plan de Continuidad de Negocio al interior de la institución para el depósito de valores. Al efecto, deberá establecer un programa para capacitar al personal sobre las acciones que realizarán en caso de que se presente una Contingencia Operativa, así como durante el desarrollo del propio plan.
II. Diseñar y llevar a cabo una política de comunicación respecto de la verificación de Contingencias Operativas, la cual deberá ser parte del Plan de Continuidad de Negocio. Dicha política deberá prever la comunicación inmediata con sus clientes, contrapartes centrales de valores y con las diferentes unidades administrativas y de negocios al interior de la propia institución para el depósito de valores, así como con la Comisión y demás autoridades competentes en atención de la naturaleza de la contingencia de que se trate.
III. Prever lo necesario para hacer del conocimiento de la Comisión y del Banco de México las Contingencias Operativas que se presenten en cualquiera de sus sistemas o canales de atención a sus clientes, autoridades y contrapartes centrales de valores.
En el aviso a que se refiere la presente fracción, se deberá señalar al menos la fecha y hora de inicio de la Contingencia Operativa, la indicación de si continúa o ha concluido y su duración, así como una descripción del evento que se haya registrado.
Asimismo, el director general deberá enviar a la Comisión y al Banco de México en un plazo no mayor a quince días naturales posteriores a la conclusión de la Contingencia Operativa, la descripción de dicha contingencia, un análisis de las causas que la motivaron, la afectación causada en términos cualitativos y cuantitativos, los procesos, sistemas y canales afectados, así como un plan de trabajo indicando el detalle de las acciones que se implementarán para minimizar el impacto o daño en situaciones similares subsecuentes y las fechas en las que se cumplirán cada una de ellas.
IV. Asegurarse de que el Plan de Continuidad de Negocio sea sometido a pruebas de efectividad al menos una vez al año, en las que se incluya a los participantes del mercado de valores que se relacionen con cada uno de los procesos a evaluarse, y se haga del conocimiento de su personal. Asimismo, deberá ratificarlo en sus términos o actualizarlo, por lo menos una vez al año, de acuerdo con lo determinado al efecto por el propio consejo de administración o como resultado de las pruebas de efectividad.
En todo caso, para el desempeño de las responsabilidades a que se refiere el presente artículo, el director general podrá auxiliarse del personal que determine, en cuyo caso deberá hacerlo del conocimiento de la Comisión en un plazo no mayor a cinco días hábiles a partir de su designación, manteniendo en todo momento una adecuada segregación de funciones que evite conflictos de interés.
Artículo 28.- Las instituciones para el depósito de valores deberán contar con una metodología para estimar los impactos cuantitativos y cualitativos de las Contingencias Operativas, la cual deberá emplearse en el análisis de impacto a que hace referencia el Anexo 1, fracción I, inciso d) de las presentes disposiciones, la cual deberá contar con la previa aprobación del consejo de administración.
El comité de auditoría deberá verificar anualmente la efectividad de la metodología comparando sus estimaciones contra las Contingencias Operativas observadas y, en su caso, llevará a cabo las correcciones necesarias.
El comité de auditoría deberá informar al consejo de administración, a la Comisión y al Banco de México, el resultado de las pruebas de efectividad y de la evaluación del alcance del Plan de Continuidad de Negocio, de su adecuada divulgación entre las áreas pertinentes y de la identificación, en su caso, de los ajustes necesarios para su actualización y fortalecimiento. Dicho informe deberá realizarse cuando menos una vez al año o antes si se detectan resultados relevantes.
Capítulo III
De la administración de la liquidez de la tesorería
Artículo 29.- Las instituciones para el depósito de valores podrán invertir sus excedentes de tesorería en los siguientes valores:
I. Inversiones en valores emitidos o garantizados por los Estados Unidos Mexicanos, así como los emitidos por el Banco de México cuyo plazo de vencimiento no exceda de un año.
II. Inversiones en depósitos bancarios de dinero a la vista y valores de deuda emitidos por instituciones de crédito que cuenten con una calificación mínima de AA, en escala nacional, que otorgue alguna institución calificadora de valores y cuyo plazo de vencimiento no exceda de un año.
III. Inversiones en acciones representativas del capital social de fondos de inversión en instrumentos de deuda con liquidación diaria.
Capítulo IV
Regulación adicional
Artículo 30.- Las instituciones para el depósito de valores, sin perjuicio de lo dispuesto en las presentes disposiciones, estarán sujetas en lo conducente a las disposiciones de carácter general expedidas por la Comisión y, en su caso, a sus modificaciones, que a continuación se relacionan:
I. Reglas generales para la integración de expedientes que contengan la información que acredite el cumplimiento de los requisitos que deben satisfacer las personas que desempeñen empleos, cargos o comisiones en entidades financieras, publicadas en el Diario Oficial de la Federación el 1 de marzo de 2002.
II. Disposiciones de carácter general aplicables al sistema internacional de cotizaciones, publicadas en el Diario Oficial de la Federación el 18 de diciembre de 2003.
III. Disposiciones de carácter general aplicables a las entidades y personas a que se refieren los artículos 3, fracciones IV, V, VI, VII y VIII, y 4, fracción XXX, de la Ley de la Comisión Nacional Bancaria y de Valores así como al Público en General, en la entrega y recepción de documentos en la Comisión Nacional Bancaria y de Valores, publicadas en el Diario Oficial de la Federación el 5 de octubre de 2011, modificadas mediante Resolución publicada en el propio Diario el 22 de diciembre de 2015.
IV. Disposiciones de carácter general que regulan los programas de autocorrección, publicadas en el Diario Oficial de la Federación el 20 de octubre de 2014.
V. Disposiciones de carácter general aplicables a las operaciones con valores que realicen los consejeros, directivos y empleados de entidades financieras y demás personas obligadas, publicadas en el Diario Oficial de la Federación el 4 de noviembre de 2014.
VI. Disposiciones de carácter general aplicables a los fondos de inversión y a las personas que les prestan servicios, publicadas en el Diario Oficial de la Federación el 24 de noviembre de 2014.
VII. Disposiciones de carácter general que señalan los días del año, en que las entidades financieras sujetas a la supervisión de la Comisión, deberán cerrar sus puertas y suspender operaciones, publicadas en el Diario Oficial de la Federación para cada ejercicio social.
TRANSITORIOS
PRIMERO.- Las presentes Disposiciones entrarán en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación, salvo por lo dispuesto en los artículos transitorios siguientes.
SEGUNDO.- Las instituciones para el depósito de valores contarán con el mismo plazo a que se refiere el último párrafo del artículo Tercero transitorio de las "Disposiciones de carácter general aplicables al sistema internacional de cotizaciones" expedidas el 13 de diciembre de 2016 para proporcionar a las bolsas de valores la información relacionada con el ejercicio de derechos a que se refiere el artículo 11, segundo párrafo de las presentes disposiciones.
TERCERO.- Las instituciones para el depósito de valores contarán con los plazos que se señalan en las fracciones siguientes, contados a partir de la publicación del presente instrumento en el Diario Oficial de la Federación para dar cumplimiento a las disposiciones que se señalan a continuación:
I. Seis meses para el cumplimiento del artículo 25 del Capítulo I del Título Cuarto de estas Disposiciones.
II. Doce meses para el cumplimiento del Capítulo II del Título Cuarto del presente instrumento.
III. Dieciocho meses para el cumplimiento de los artículos 23 y 24 del Capítulo I del Título Cuarto del presente instrumento.
CUARTO.- A la entrada en vigor de las presentes Disposiciones, quedarán abrogadas las "Disposiciones de carácter general aplicables a las instituciones para el depósito de valores", publicadas en el Diario Oficial de la Federación el 18 de enero de 2011, y reformadas mediante resoluciones publicadas en el citado Diario el 16 de marzo de 2011 y el 22 de diciembre de 2015.
Atentamente
Ciudad de México, a 6 de enero de 2017.- El Presidente de la Comisión Nacional Bancaria y de Valores,
Jaime González Aguadé.- Rúbrica.
Anexo 1
Requerimientos mínimos del Plan de Continuidad de Negocio
I. Las instituciones para el depósito de valores, previo al desarrollo del Plan de Continuidad de Negocio deberán llevar a cabo un análisis de impacto al negocio que:
a) Incluya la totalidad de los servicios, procesos y participantes, identificando aquellos críticos que se consideran indispensables para la continuidad de las operaciones, entre los cuales deberán incluirse al menos los necesarios para llevar a cabo las actividades que se prevén en el artículo 280 fracciones I a V, VII y IX de la Ley.
b) Determine los recursos (humanos, logísticos, materiales, de infraestructura tecnológica y de cualquier otra naturaleza) mínimos necesarios para mantener y restablecer los servicios y procesos de las instituciones para el depósito de valores ante la ocurrencia de una Contingencia Operativa, así como al término de esta.
c) Elabore escenarios relevantes relativos a las posibles Contingencias Operativas, considerando, al menos, los siguientes:
i. Desastres naturales y ambientales.
ii. Enfermedades infecciosas.
iii. Ataques cibernéticos o a la actividad informática.
iv. Sabotajes.
v. Terrorismo.
vi. Interrupciones en el suministro de energía.
vii. Fallas o indisponibilidad en la infraestructura tecnológica (funcionalidad de aplicaciones, telecomunicaciones, procesamiento de información y redes).
viii. Indisponibilidad de recursos humanos, materiales o técnicos.
ix. Interrupciones ocurridas en servicios prestados por terceros.
d) Estime los impactos cuantitativos y cualitativos de las Contingencias Operativas, con base en los escenarios definidos para cada proceso y a través de la metodología a que se refiere el artículo 28 de estas disposiciones.
e) Defina la prioridad de recuperación para cada uno de los procesos.
f) Determine el tiempo objetivo de recuperación (conocido como RTO, por sus siglas en inglés), para cada uno de los servicios y procesos. Tratándose de los servicios y procesos relacionados con las actividades señaladas en las fracciones I a V, VII y IX del artículo 280 de la Ley, no deberá ser mayor a sesenta minutos contados a partir de que las instituciones para el depósito de valores identifiquen la Contingencia Operativa, estando obligadas a contemplar las previsiones que estén a su alcance para cumplir con dicho tiempo objetivo de recuperación.
g) Considere que el punto objetivo de recuperación (conocido como RPO, por sus siglas en inglés) entendido como la máxima pérdida de datos tolerable para cada uno de los servicios y procesos, considerando que la información de aquellas operaciones ya celebradas no puedan perderse en ningún escenario, y que se debe conocer de forma oportuna el estado que tenía cada operación celebrada al momento en que se presentó la Contingencia Operativa.
h) Identifique y evalúe los riesgos relacionados con los procesos operativos y servicios de procesamiento y transmisión de datos contratados con proveedores, así como los relacionados con custodia y resguardo de información de la institución para el depósito de valores o de sus clientes.
i) Determine los riesgos derivados de la ubicación geográfica de los centros principales de procesamiento de datos y de operación de los procesos identificados como críticos conforme al inciso a) de la presente fracción, para evitar que los centros de procesamiento de datos y de operación alternos estén expuestos a los mismos riesgos que los principales.
j) Considere establecer sitios alternos de procesamiento de información, así como de operación,
los cuales deberán permitir operar en el momento que así se requiera, y no deben estar sujetos a los mismos riesgos que el sitio primario.
II. En la elaboración del Plan de Continuidad de Negocio, las instituciones para el depósito de valores deberán incorporar las siguientes estrategias:
a) De prevención, que comprenderá al menos la determinación, con base en el análisis de impacto al negocio, de las acciones y procedimientos relativos a:
i. Reducir la vulnerabilidad de los procesos y servicios de las instituciones para el depósito de valores ante Contingencias Operativas.
ii. La disposición de los recursos humanos, financieros, materiales, técnicos y de infraestructura tecnológica necesarios para actuar de manera oportuna ante una Contingencia Operativa.
iii. El establecimiento de un programa de pruebas al funcionamiento y suficiencia del Plan de Continuidad de Negocio que contemple la actualización al menos anual, o antes si ocurre un cambio significativo en la Infraestructura Tecnológica, procesos, productos y servicios, u organización interna de las instituciones para el depósito de valores que evalúen todas las etapas y componentes del Plan de Continuidad de Negocio.
iv. El programa de capacitación a que hace referencia la fracción I del artículo 27 de estas disposiciones.
v. La política de comunicación a que hace referencia la fracción II del artículo 27 de estas disposiciones, la cual deberá atender todos los momentos de las Contingencias Operativas, desde su ocurrencia y contención hasta su resolución y evaluación, lo anterior en atención a la naturaleza de la citada contingencia y los diferentes destinatarios de sus comunicaciones.
vi. Procedimientos de registro, atención, seguimiento y difusión al personal relevante de los hallazgos, incidencias u observaciones resultantes de las pruebas efectuadas al Plan de Continuidad de Negocio o bien, de la ejecución del propio plan en caso de haberse presentado una Contingencia Operativa.
b) De contingencia, que comprenderá la definición de las acciones y procedimientos de respuesta autorizados para:
i. Identificar la naturaleza de las Contingencias Operativas que afecten los procesos de las instituciones para el depósito de valores.
ii. Contener los efectos de las Contingencias Operativas sobre los procesos y favorecer el restablecimiento de la operación a los niveles de funcionamiento requeridos con base en lo establecido en los incisos f) y g) de la fracción I anterior.
iii. Procurar la continuidad de la operación, la igualdad de condiciones para la realización de sus actividades y los servicios que presta, así como la disponibilidad e igualdad para que los participantes del mercado consulten la información de dichas actividades y servicios.
c) De restauración, que comprenderá la definición de las acciones y procedimientos para que los servicios y procesos de las instituciones para el depósito de valores vuelvan a niveles mínimos de servicio y eventualmente a la normalidad, incluyendo mecanismos de actualización y conciliación de la información, observando al efecto, los estándares establecidos en los incisos f) y g) de la fracción I anterior.
d) De evaluación, que comprenderá lo relativo a la recopilación y análisis de la información relevante sobre el desarrollo de la Contingencia Operativa y de las acciones y procedimientos seguidos para su prevención, contención y restauración a fin de, en su caso, efectuar los ajustes necesarios al Plan de Continuidad de Negocio.
Las instituciones para el depósito de valores al definir las diferentes acciones y procedimientos a que hace referencia la presente fracción, deberán en todo momento determinar de manera clara el personal responsable, así como prever lo relativo a su suplencia o sustitución en caso de que los titulares se encuentren impedidos para llevar a cabo lo que el Plan de Continuidad de Negocio establezca.
El personal referido en el párrafo anterior, deberá participar en la realización de las pruebas de
efectividad a que se refiere la fracción IV del artículo 27 de las presentes disposiciones.
________________________________
|
En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
|
