CIRCULAR 36/2020 dirigida a las emisoras de valores y a las instituciones para el depósito de valores, relativa a la emisión electrónica de títulos representativos de valores objeto de depósito en instituciones para el depósito de valores.
Al margen un logotipo, que dice: Banco de México.- ''2020, Año de Leona Vicario, Benemérita Madre de la Patria''.
CIRCULAR 36/2020
A LAS EMISORAS DE VALORES Y A LAS INSTITUCIONES PARA EL DEPÓSITO DE VALORES:
ASUNTO: EMISIÓN ELECTRÓNICA DE TÍTULOS REPRESENTATIVOS DE VALORES OBJETO DE DEPÓSITO EN INSTITUCIONES PARA EL DEPÓSITO DE VALORES.
El Banco de México, con el fin de continuar promoviendo el sano desarrollo del sistema financiero y propiciar el buen funcionamiento de los sistemas de pagos, así como de proteger los intereses del público, ha resuelto establecer un procedimiento con condiciones adecuadas de seguridad para la emisión electrónica de títulos objeto de depósito en instituciones para el depósito de valores, mediante la utilización de mensajes de datos, firmas electrónicas y sellos digitales de tiempo que garanticen su integridad y confiabilidad.
Por lo anterior, con fundamento en los artículos 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos, 24, 26 y 36, de la Ley del Banco de México, 46, fracción IX, 53 y 81, de la Ley de Instituciones de Crédito, 282 de la Ley del Mercado de Valores, 106 del Código de Comercio, Cuarto Transitorio del Decreto por el que se reforman y adicionan diversas disposiciones del Código de Comercio en Materia de Firma Electrónica, publicado en el Diario Oficial de la Federación del 29 de agosto de 2003, 22 de la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, 15 de la Ley de Fondos de Inversión, 9 de la Ley Orgánica de Nacional Financiera, 6 de la Ley Orgánica de Sociedad Hipotecaria Federal, 9 de la Ley Orgánica del Banco del Bienestar, 9 de la Ley Orgánica del Banco Nacional de Comercio Exterior, 10 de la Ley Orgánica del Banco Nacional de Obras y Servicios Públicos, 8 de la Ley Orgánica del Banco Nacional del Ejército, Fuerza Aérea y Armada, 7, fracción X, y 19, de la Ley Orgánica de la Financiera Nacional de Desarrollo Agropecuario, Rural, Forestal y Pesquero, 4, párrafo primero, 8, párrafos cuarto y octavo, 10, párrafo primero, 12 Bis, párrafo primero, en relación con el 20 Quáter, fracción IV, 14 Bis, párrafo primero, en relación con el 17, fracción I, del Reglamento Interior del Banco de México, que le otorgan la atribución de expedir disposiciones a través de la Dirección General de Sistemas de Pagos e Infraestructuras de Mercados y de la Dirección General Jurídica, respectivamente, así como Segundo, fracciones X y XVII, del Acuerdo de Adscripción de las Unidades Administrativas del Banco de México, ha resuelto emitir las siguientes:
DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LA EMISIÓN ELECTRÓNICA DE TÍTULOS
REPRESENTATIVOS DE VALORES OBJETO DE DEPÓSITO EN INSTITUCIONES PARA EL DEPÓSITO
DE VALORES
Artículo 1. Las presentes Disposiciones tienen por objeto determinar aquellos títulos, ya sean múltiples o únicos, representativos de Valores objeto de depósito en Instituciones para el Depósito de Valores que, conforme al artículo 282 de la Ley, puedan emitirse de manera electrónica, así como las características específicas y de seguridad que deberán reunir para tales efectos.
Artículo 2. Para efectos de las presentes Disposiciones, los términos con inicial mayúscula utilizados en estas, en singular o plural, tendrán los mismos significados que los establecidos para dichos términos en la Ley y el Código de Comercio, así como los siguientes:
| Bóveda Electrónica:
| al Sistema de Información de la Institución para el Depósito de Valores utilizado para el archivo de los Títulos Electrónicos, constituido y operado conforme a los requisitos técnicos indicados en el Anexo 2 de las presentes Disposiciones. |
| Certificado Digital Calificado:
| a aquel Certificado Digital emitido, conforme a las Reglas de la IES, por el Servicio de Administración Tributaria, en su carácter de Agencia Certificadora, también denominado en las disposiciones de este como "e.firma", que es almacenado en un archivo digital con extensión ".cer", cuando es obtenido de dicha autoridad de conformidad con las disposiciones que esta establezca para tal efecto, así como aquel otro Certificado Digital que, conforme a las Reglas de la IES, emita un tercero autorizado, en su caso, por el Banco de México, sujeto a la determinación de este último de que dicho Certificado Digital cumple con los mismos requisitos de seguridad y de acreditación de la identidad del interesado que observa el Servicio de Administración Tributaria para su expedición. |
| Cifrado:
| al proceso de aplicar, mediante el Sistema de Información Calificado, los Datos de Verificación de Firma Electrónica Calificados a un Mensaje de Datos para generar uno nuevo que sea ininteligible para cualquier persona, excepto para el Titular del Certificado Digital Calificado del que forman parte los Datos de Verificación de Firma Electrónica Calificados, quien, a su vez, funge como el Destinatario de dicho Mensaje de Datos. |
| Código ISIN:
| al número de identificación internacional de Valores, conocido como tal, por sus siglas en inglés, generado de conformidad con el estándar ISO 6166, emitido por la organización internacional denominada Organización Internacional para la Estandarización, o el estándar que, en su caso, lo sustituya. |
| Creación de una Firma
Electrónica:
| al proceso de aplicar, mediante el Sistema de Información Calificado, los Datos de Creación de Firma Electrónica Calificados a un Mensaje de Datos y generar la Firma Electrónica que se agrega al referido Mensaje de Datos. |
| Datos de Creación de Firma
Electrónica Calificados:
| a aquellos Datos de Creación de Firma Electrónica previstos en las Reglas de la IES que el Titular genera como parte del proceso de emisión de su respectivo Certificado Digital Calificado, que se almacenan en un archivo digital con extensión ".key". |
| Datos de Verificación de Firma
Electrónica Calificados:
| a aquellos Datos de Verificación de Firma Electrónica a que se refieren las Reglas de la IES que son parte de la información incluida en el Certificado Digital Calificado. |
| Descifrado:
| al proceso de aplicar, mediante el Sistema de Información Calificado, los Datos de Creación de Firma Electrónica Calificados a un Mensaje de Datos que haya sido Cifrado, para que el Titular del respectivo Certificado Digital Calificado pueda ver el contenido del Mensaje de Datos original. |
| Día Hábil Bancario:
| a los días en que las instituciones de crédito no estén obligadas a cerrar sus puertas ni a suspender operaciones, en términos de las disposiciones de carácter general que, para tal efecto, emita la Comisión Nacional Bancaria y de Valores. |
| Emisora:
| a aquella a que se refiere el artículo 2 de la Ley, así como a cualquier otra persona que emita Valores susceptibles de ser objeto de depósito en las Instituciones para el Depósito de Valores conforme a la normativa aplicable. |
| Firma Electrónica:
| al conjunto de datos que se agrega a un Mensaje de Datos, el cual está asociado en forma lógica a este y es atribuible al Titular una vez utilizado el Sistema de Información Calificado, y que cumple con los requisitos de Firma Electrónica Avanzada o Fiable a que se refieren los artículos 89 y 97 del Código de Comercio, según sea modificado o sustituido con posterioridad. |
| Infraestructura Extendida de
Seguridad (IES):
| a aquella definida en términos del apartado I de las Reglas de la IES. |
| Infraestructura Tecnológica:
| al Sistema de Información que comprenda la infraestructura de cómputo, telecomunicaciones, software, aplicaciones informáticas y demás herramientas que sean utilizadas por las Emisoras y Entidades Financieras para el envío, recepción, registro y demás procesamiento de Mensajes de Datos que se envíen entre estas. |
| Institución para el Depósito de
Valores:
| a aquella sociedad anónima que goce de la concesión del Gobierno Federal para organizarse y operar con tal carácter, en los términos señalados por la Ley. |
| Ley:
| a la Ley del Mercado de Valores. |
| Mensaje de Datos:
| a aquel definido en términos del apartado I de las Reglas de la IES. |
| Reglas de la IES:
| a las Reglas para Operar como Agencia Registradora y/o Agencia Certificadora en la Infraestructura Extendida de Seguridad, emitidas por el Banco de México mediante la Circular-Telefax 6/2005, según sean modificadas o sustituidas con posterioridad. |
| Sistema de Información
Calificado:
| a aquel Sistema de Información del Banco de México denominado WebSec, o aquel otro de un tercero que cumpla con lo previsto en el Anexo 1 de las presentes Disposiciones, que permite, por una parte, la Creación de Firmas Electrónicas, como Dispositivo de Creación de Firma Electrónica en términos de las Reglas de la IES, y, por otra parte, la Verificación de Firmas Electrónicas, como Dispositivo de Verificación de Firma Electrónica en términos de las propias Reglas de la IES, así como llevar a cabo el Cifrado y Descifrado de Mensajes de Datos. |
| Titular:
| a aquel a que se refieren las Reglas de la IES, que interviene en su carácter de Firmante en términos del artículo 89 del Código de Comercio. |
| Títulos Electrónicos:
| a aquellos títulos, múltiples o únicos, que amparen parte o la totalidad de una emisión de Valores objeto de depósito en Instituciones para el Depósito de Valores, que cumplen con lo previsto en las presentes Disposiciones para considerar que fueron emitidos de manera electrónica para efectos de lo dispuesto en el artículo 282 de la Ley. |
| Verificación de una Firma
Electrónica:
| al proceso de aplicar, mediante el Sistema de Información Calificado, los Datos de Verificación de Firma Electrónica Calificados a la Firma Electrónica de un Mensaje de Datos y comprobar, tanto la fiabilidad de dicha Firma Electrónica mediante la verificación de que esta fue creada para ese mismo Mensaje de Datos utilizando los Datos de Creación de la Firma Electrónica Calificados que corresponden a los Datos de Verificación de Firma Electrónica Calificados, como la integridad del Mensaje de Datos al no sufrir alteración después de generada su Firma Electrónica. |
Artículo 3. Los títulos emitidos de manera electrónica que las Instituciones para el Depósito de Valores podrán recibir en depósito serán todos aquellos títulos objeto de depósito conforme a la Ley que se emitan bajo el procedimiento establecido por dichas instituciones en su reglamento interior, de conformidad con las presentes Disposiciones.
Artículo 4. Los Títulos Electrónicos que las Instituciones para el Depósito de Valores podrán recibir en depósito deberán cumplir con los requisitos técnicos establecidos en las presentes Disposiciones, sin perjuicio de aquellos otros requisitos que sean aplicables al Valor que el Título Electrónico represente conforme a las normas correspondientes. En todo caso, los Mensajes de Datos que correspondan a los Títulos Electrónicos conforme a las presentes Disposiciones deberán contener el texto y demás información que la normativa aplicable exija para la naturaleza del Valor y título respectivo.
Artículo 5. Los Títulos Electrónicos que las Instituciones para el Depósito de Valores mantengan en depósito deberán ser emitidos conforme a los convenios celebrados por las respectivas Emisoras con las Instituciones para el Depósito de Valores al amparo de los cuales hayan acordado el procedimiento previsto en estas Disposiciones para su emisión, sin perjuicio de lo señalado en las presentes Disposiciones y las demás normas aplicables a la emisión y depósito de los Títulos Electrónicos referidos. Las Emisoras que pretendan emitir Títulos Electrónicos deberán, previamente a ello, entregar a la Institución para el Depósito de Valores los Certificados Digitales Calificados vigentes de los Titulares que, conforme a la legislación y regulación aplicable, estén facultados para representar a tales Emisoras en la emisión de los títulos. A este respecto, la vigencia de dichos Certificados Digitales Calificados no deberá ser menor a seis meses entre la fecha de su entrega a la Institución para el Depósito de Valores y la de su expiración. Tratándose de los Titulares que representen a las demás partes que intervengan en la emisión de los Títulos, tales como representantes comunes, garantes o avalistas, las Emisoras deberán obtener de ellos los respectivos Certificados Digitales Calificados vigentes, para su entrega a la Institución para el Depósito de Valores correspondiente, de conformidad con el presente artículo, sin perjuicio de la verificación que corresponda hacer sobre las facultades de dichos Titulares para suscribir los actos correspondientes en nombre y representación de las personas respectivas.
Para los efectos previstos en el párrafo anterior, los Títulos Electrónicos deberán emitirse conforme al procedimiento que las Instituciones para el Depósito de Valores establezcan en su reglamento interior para que las Emisoras entreguen y mantengan actualizados los Certificados Digitales Calificados de los Titulares a que se refiere el párrafo precedente.
Artículo 6. Para efectos de la emisión de Títulos Electrónicos, el Mensaje de Datos respectivo que la Emisora genere para su entrega a la Institución para el Depósito de Valores deberá contener, además de aquella información necesaria para cumplir con los requisitos establecidos en la normativa aplicable, incluido el reglamento interior de la Institución para el Depósito de Valores respectiva, según el tipo de Valor de que se trate, al menos, la información siguiente:
I. Tipo de Valor objeto de la emisión;
II. Clave de cotización o de emisión del tipo de Valor;
III. Razón o denominación social de la Emisora;
IV. Número de Valores que amparará la emisión;
V. Monto de la emisión, valor nominal y denominación del Valor objeto de la emisión;
VI. Lugar y fecha de emisión;
VII. Lugar y fecha de pago, en su caso;
VIII. Serie;
IX. Fecha de vencimiento, en su caso;
X. Tasa de descuento o intereses, en su caso, y
XI. Cuenta de la Emisora en la que se depositarán los Títulos Electrónicos.
Artículo 7. Los Titulares de la Emisora, así como, en su caso, de las demás partes que intervengan en la emisión del Título Electrónico de que se trate, deberán usar el Sistema de Información Calificado para llevar a cabo la Creación de las Firmas Electrónicas que les corresponda, las cuales deberán agregarse al Mensaje de Datos a que se refiere el artículo anterior que constituya el título a emitirse electrónicamente.
Una vez realizado lo previsto en el párrafo anterior, la Emisora deberá, por medio del Sistema de Información Calificado, llevar a cabo el Cifrado del Mensaje de Datos referido y enviarlo a la Institución para el Depósito de Valores de que se trate, a través de la Infraestructura Tecnológica establecida por la propia Institución para el Depósito de Valores para dichos efectos de conformidad con su reglamento interior o, a falta de dicha Infraestructura Tecnológica, mediante correo electrónico generado por el Emisor y enviado a la dirección de correo electrónico establecida por la referida Institución para el Depósito de Valores para dichos efectos, de conformidad con su reglamento interior.
Artículo 8. La Institución para el Depósito de Valores, una vez que reciba el Mensaje de Datos que resulte de los procesos previstos en el artículo 7 de las presentes Disposiciones, dentro del plazo que establezca al efecto en su reglamento interior, deberá, por medio del Sistema de Información Calificado correspondiente, llevar a cabo el Descifrado del Mensaje de Datos referido, así como la Verificación de las Firmas Electrónicas que se hayan agregado al mismo, a fin de comprobar:
I. La autenticidad de los Certificados Digitales Calificados correspondientes a las Firmas Electrónicas de los Titulares de la Emisora y, en su caso, de las demás partes que intervengan en la emisión respectiva, que hayan sido agregadas al Mensaje de Datos referido, según correspondan a los Certificados Digitales Calificados, en su caso, debidamente actualizados, que la Emisora haya entregado a la Institución para el Depósito de Valores, en términos de lo previsto en el artículo 5 de las presentes Disposiciones;
II. La integridad del Mensaje de Datos y la ausencia de alteraciones a este, con posterioridad al momento en que la Firma Electrónica haya quedado agregada al Mensaje de Datos, y
III. La suficiencia de la información que debe contener el Mensaje de Datos, de conformidad con lo dispuesto en el artículo 6 de las presentes Disposiciones.
En caso de que, de la verificación a que se refiere este artículo, la Institución para el Depósito de Valores determine que el Mensaje de Datos cumple con lo dispuesto en la Ley, las presentes Disposiciones y el reglamento interior de la Institución para el Depósito de Valores referida, dicha Institución para el Depósito de Valores, a través del Sistema de Información Calificado respectivo, llevará a cabo la Creación de una Firma Electrónica de un Titular que sea representante de esa Institución para el Depósito de Valores autorizado por esta para tales efectos, quien agregará dicha Firma Electrónica a ese Mensaje de Datos. Asimismo, en el momento en que se agregue la Firma Electrónica referida al Mensaje de Datos, la Institución para el Depósito de Valores le asignará, por medio de su Infraestructura Tecnológica, el Código ISIN que corresponda y lo resguardará en sus Bóvedas Electrónicas conforme a lo indicado en las presentes Disposiciones.
Una vez hecho lo previsto en el párrafo anterior, la Institución para el Depósito de Valores deberá archivar los Títulos Electrónicos bajo su depósito en, al menos, cuatro Bóvedas Electrónicas diferentes. Para tales efectos, la Institución para el Depósito de Valores deberá situar las cuatro Bóvedas Electrónicas referidas en, al menos, tres ubicaciones geográficas distintas, que cumplan con lo establecido al respecto para sus centros de procesamiento de datos conforme a sus planes de continuidad de negocio ajustados a la normativa aplicable, sujeto al análisis de riesgos que dichas Instituciones para el Depósito de Valores lleven a cabo para determinar que cada una de dichas ubicaciones cumpla con un perfil de riesgo distinto. Asimismo, la Institución para el Depósito de Valores deberá mantener dos de las Bóvedas Electrónicas referidas en funcionamiento sincrónico y el resto de las Bóvedas Electrónicas en funcionamiento asincrónico, con una latencia no mayor a dos segundos.
De conformidad con lo anterior, los Mensajes de Datos a que se refieren las presentes Disposiciones se constituirán como Títulos Electrónicos a partir del momento en que queden resguardados en las dos Bóvedas Electrónicas sincrónicas que la Institución para el Depósito de Valores de que se trate mantenga en funcionamiento conforme a esta Disposición. Asimismo, los Títulos Electrónicos referidos se considerarán depositados en la Institución para el Depósito de Valores respectiva a partir de ese mismo momento.
Las Instituciones para el Depósito de Valores deberán archivar y llevar a cabo las operaciones que correspondan sobre los Títulos Electrónicos bajo su depósito en las cuatro Bóvedas Electrónicas referidas, hasta el vencimiento o cancelación del Título Electrónico, por cumplimiento del plazo, condiciones previstas, incluida la sustitución, por cualquier otra causa, o hasta su retiro, total o parcial, por persona facultada para ello, así como a la conclusión del plazo establecido en la normativa aplicable para su conservación.
Las Instituciones para el Depósito de Valores, en relación con las Bóvedas Electrónicas que establezcan y mantengan, deberán cumplir con los requisitos establecidos en el Anexo 2 de las presentes Disposiciones.
Artículo 9. Los Títulos Electrónicos quedarán registrados por la Institución para el Depósito de Valores en la cuenta de emisión de Valores de la propia Emisora que haya gestionado el depósito de manera directa o bien, del intermediario financiero que haya gestionado dicho depósito por cuenta de la Emisora. Una vez que la Institución para el Depósito de Valores haya llevado a cabo el registro en la cuenta correspondiente, esta deberá enviar a la Emisora y, en su caso, al intermediario financiero antes referido un Mensaje de Datos, con la Firma Electrónica del representante de dicha Institución para el Depósito de Valores, que contenga una copia del Título Electrónico registrado, manifestando que este ha sido emitido electrónicamente y que se encuentra depositado en la cuenta que corresponda. Al respecto, la Institución para el Depósito de Valores deberá enviar el Mensaje de Datos referido a través de su Infraestructura Tecnológica o, en su caso, mediante correo electrónico enviado a la dirección indicada por la Emisora o el intermediario financiero referido para estos efectos.
En caso de que se modifiquen los términos de los Títulos Electrónicos depositados en la Institución para el Depósito de Valores conforme a las presentes Disposiciones, se realicen depósitos subsecuentes de Títulos Electrónicos generados conforme a emisiones previamente documentadas o se deba efectuar el canje de Títulos Electrónicos depositados, los Títulos Electrónicos que substituyan a los anteriormente referidos deberán emitirse conforme a las presentes Disposiciones, sin perjuicio del procedimiento para la substitución que efectúe la Institución para el Depósito de Valores en términos de su reglamento interior.
Artículo 10. Además de lo dispuesto en el artículo 8 anterior, párrafo segundo, la Institución para el Depósito de Valores que reciba en depósito los respectivos Títulos Electrónicos, conforme a estas Disposiciones, deberá conservarlos con un Certificado Digital Calificado que, a su vez, se mantenga vigente durante el mismo periodo en que subsista dicho depósito y que corresponda a un Titular autorizado para tales efectos como representante de esa Institución para el Depósito de Valores. Para ello, a los seis meses previos a la fecha de expiración del Certificado Digital Calificado de dicho Titular, la Institución para el Depósito de Valores, a través del Sistema de Información Calificado, deberá llevar a cabo la Creación de una Firma Electrónica del mismo o cualquier otro Titular que sea representante de esa Institución para el Depósito de Valores autorizado por esta para tales efectos, y deberá agregar dicha Firma Electrónica al Título Electrónico correspondiente.
Las Instituciones para el Depósito de Valores deberán conservar los Mensajes de Datos que constituyan los Títulos Electrónicos que reciban en depósito, de conformidad con la Norma Oficial Mexicana NOM-151-SCFI-2016 emitida por la Secretaría de Economía o aquella otra que la sustituya. Para estos efectos, la Institución para el Depósito de Valores que reciba en depósito un Título Electrónico conforme a lo establecido en estas Disposiciones deberá solicitar a un Prestador de Servicios de Certificación, a más tardar el Día Hábil Bancario siguiente a aquel en que el Mensaje de Datos respectivo se constituya como Título Electrónico conforme a lo previsto en el artículo 8 anterior, párrafo cuarto, la constancia de conservación de Mensajes de Datos correspondiente a dicho Título Electrónico, conforme a lo establecido en la Norma Oficial Mexicana citada o aquella otra que la sustituya.
Las Instituciones para el Depósito de Valores deberán mantener los Títulos Electrónicos en depósito con las correspondientes constancias de conservación de Mensajes de Datos vigentes durante los periodos respectivos en que se mantengan dichos depósitos en vigor. Para ello, previo a la fecha de vencimiento de la constancia de conservación de Mensajes de Datos, la Institución para el Depósito de Valores de que se trate deberá obtener una extensión de la vigencia de la referida constancia, conforme a la Norma Oficial Mexicana mencionada en este artículo. Además, las Instituciones para el Depósito de Valores deberán archivar las constancias de conservación de Mensajes de Datos en las Bóvedas Electrónicas que mantengan conforme a lo previsto en el párrafo tercero del artículo 8 de las presentes Disposiciones.
En caso de que una Institución para el Depósito de Valores obtenga la acreditación para ser Prestador de Servicios de Certificación conforme a lo dispuesto en el Código de Comercio, esta podrá emitir las constancias de conservación de Mensajes de Datos antes referidas para los Títulos Electrónicos que se mantengan bajo depósito en la misma Institución para el Depósito de Valores o en cualquier otra.
Los actos previstos en este artículo no implicarán la modificación de la información contenida en el Título Electrónico, a la que hace referencia el artículo 6 de las presentes Disposiciones.
Artículo 11. Los Títulos Electrónicos depositados en Instituciones para el Depósito de Valores que cumplan con los requisitos establecidos en la Ley y las presentes Disposiciones producirán los mismos efectos que las leyes otorgan a aquellos emitidos en medios impresos y suscritos con firma autógrafa y, en consecuencia, tendrán el mismo valor probatorio.
ANEXO 1
Para que un Sistema de Información sea considerado como Sistema de Información Calificado conforme a las presentes Disposiciones, este deberá consistir en un software de cómputo que cumpla con los requisitos siguientes:
· Tener como función principal la aplicación de algoritmos criptográficos que cumplan con las especificaciones de Firma Electrónica previstas en las Reglas de la IES.
· Mantener comunicación con una Agencia Registradora de la Infraestructura Extendida de Seguridad (IES) para estar en posibilidad de solicitar y verificar la validez de Certificados Digitales Calificados de los Titulares involucrados en los procesos de Creación y Verificación de Firmas Electrónicas y cifrar y
descifrar Mensajes de Datos. Para tal efecto, el software de cómputo deberá cumplir con el Protocolo de Comunicación con la Infraestructura Extendida de Seguridad que la Dirección General de Sistemas de Pagos e Infraestructuras de Mercados mantenga a disposición de los interesados en la página que el Banco de México tiene en su sitio de internet, que se identifica con el dominio www.banxico.org.mx.
· Implementar el estándar RFC 3852 "Cryptographic Message Syntax (CMS)" para la Creación de una Firma Electrónica y cifrar Mensajes de Datos. Dentro del estándar referido, la especificación del archivo resultante de la Creación de una Firma Electrónica que se genera mediante el así denominado Signed-data Content Type sobre la información que se conforma del tipo de datos archivos cuya especificación en su notación ASN.1 se describe más adelante. De igual forma, dentro del estándar señalado, la especificación del archivo resultante al cifrar un Mensaje de Datos se genera mediante el así denominado Enveloped-data Content Type sobre la información que se conforma del tipo de datos archivos cuya especificación en su notación ASN.1 se describe más adelante.
La información que se emplea dentro del estándar RFC 3852 es aquella que se dispone de acuerdo con la siguiente descripción en la notación ASN.1
Archivos ::= SEQUENCE of Archivo
Archivo ::= SEQUENCE {
nombre OCTET STRING,
contenido OCTET STRING }
donde nombre es la denominación del archivo que contiene la información de interés de aquellos títulos, múltiples o únicos, que amparen parte o la totalidad de una emisión de Valores objeto de depósito en Instituciones para el Depósito de Valores, para efectos de lo dispuesto en el artículo 282 de la Ley. Por otro lado, contenido es la información incluida en dicho archivo interpretada como una secuencia de bytes.
ANEXO 2
Las Bóvedas Electrónicas empleadas para el archivo de los Títulos Electrónicos al amparo de las presentes Disposiciones deberán cumplir con requisitos de seguridad con el objetivo de reducir o eliminar las pérdidas de información de acuerdo con las características generales de seguridad informática contenidas en el estándar internacional emitido por la organización internacional denominada International Standard Organization bajo la referencia ISO 27002:2013, enumeradas a continuación:
· Integridad de la información: Característica que hace referencia al contenido dentro de la Bóveda Electrónica para que continúe inalterado, a menos que sea modificado por personal autorizado, y esta modificación se encuentre registrada para posteriores controles o auditorías.
· Disponibilidad u operatividad de la información: Capacidad de realizar operaciones de forma continua, de tal forma que la Bóveda Electrónica debe estar disponible todo el tiempo para consultas, y preservando la integridad de la información, así como los formatos con la que esta originalmente fue archivada.
· Confidencialidad de la información: Característica que se refiere a la necesidad de que la información solo sea conocida por usuarios autorizados por la Institución para el Depósito de Valores.
· Control sobre la información: Característica que certifica a los usuarios autorizados por la Institución para el Depósito de Valores para que puedan decidir sobre las modificaciones que se realicen en la Bóveda Electrónica.
· No repudio: Característica que permite definir los protocolos para evaluar si la información es válida y servible. Asimismo, permite identificar el origen de la información, validando el emisor de esta, para impedir sustitución de identidades.
Las características tanto de software y hardware que deben observar las Instituciones para el Depósito de Valores respecto a sus Bóvedas Electrónicas se enumeran a continuación:
I. La Bóveda Electrónica estará constituida como un conjunto de servidores de bases de datos o una red de almacenamiento.
II. A nivel software, la Bóveda Electrónica funciona como servidor para la organización y almacenamiento de la información mediante el uso de tablas, índices y registros, especialmente diseñado con arquitectura de alto rendimiento.
III. La Bóveda Electrónica podrá ser consultada, borrada o modificada únicamente por personal autorizado por la Institución para el Depósito de Valores y cumpliendo con las características de seguridad antes mencionadas desde conexiones de protocolos de red seguros.
IV. A nivel hardware, la Bóveda Electrónica será un conjunto de servidores de bases de datos o una red de almacenamiento con el solo uso para la Bóveda Electrónica, dedicado a ejecutar softwares únicamente para custodia electrónica. La Institución para el Depósito de Valores no deberá permitir que el servidor contenga software de entorno de desarrollo, compiladores, ni herramientas para jaquear, entre otros.
V. En el caso de la creación de la base datos o de la red de almacenamiento, la Bóveda Electrónica contemplará las tres fases para la integración de la información: conceptual, lógica y física. En la fase conceptual se limita al uso de custodia electrónica para proseguir con un modelo de datos para un sistema de gestión. Finalmente, se debe proceder al diseño físico que tiene que mantener coherencia con las primeras dos fases.
VI. Se cifrarán todos los datos almacenados aplicando la característica de confidencialidad.
VII. Se deberá implementar un WAF (Web Application Firewall), con objeto de proteger al servidor ante ataques relacionados con el ingreso de secuencias de comandos, o ataques específicos en Internet.
VIII. Se deberá llevar a cabo la actualización de parches de seguridad. Se hace referencia a la necesidad de la actualización del software de seguridad interna, tanto del sistema operativo como de las aplicaciones instaladas.
IX. Para las Bóvedas Electrónicas, se deberá actualizar y mejorar los protocolos de seguridad implementados para el envío de copias de respaldo.
X. Se deberán habilitar controles de seguridad de la base de datos. Asimismo, se deberán revisar los filtros o controles de seguridad y asegurarse que se encuentren activos en el momento de la consulta.
XI. Se deberán segregar los grupos de usuarios, servicios y sistemas de información en las redes, para diferenciar y permitir acceso a la base de datos o de la red de almacenamiento solamente a los que cuentan con roles implícitos a su utilización.
XII. Se deberán desconectar las sesiones tras un determinado periodo de inactividad.
XIII. Se deberá seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas.
XIV. Se deberá restringir el acceso al código fuente de los softwares, especialmente de los que tienen acceso a la base de datos o la red de almacenamiento.
XV. Se deberá controlar la implantación de cambios mediante la aplicación de procedimientos formales de control de cambios.
XVI. Se revisarán y probarán las aplicaciones críticas de negocio cuando se realicen cambios en el sistema operativo, con objeto de garantizar que no existen impactos adversos para las actividades o seguridad de la organización.
XVII. Se deberá supervisar y monitorizar el desarrollo del software subcontratado por la organización, si es que fuera el caso.
XVIII. Se desarrollarán e implantarán planes de mantenimiento o recuperación de las operaciones del negocio para asegurar la disponibilidad de la información en el grado y en las escalas de tiempo requerido, tras la interrupción o fallo de los procesos críticos de negocio.
XIX. No deberá haber acceso con dispositivos periféricos del equipo de cómputo en el que se soportarán las Bóvedas Electrónicas.
XX. Para prevenir ataques web, las entradas de datos deberán ser sanitizadas (input sanitization).
XXI. El servidor de Base de Datos deberá contar con un hardening con la finalidad de solo contar con el software para operar con la Bóveda Electrónica.
XXII. Se deberá realizar un escaneo para detectar vulnerabilidades y mitigar al menos las consideradas como altas y críticas.
XXIII. Contará con una herramienta que permita detectar alteración de archivos y código malicioso.
XXIV. Las contraseñas deberán ser robustas, individuales y no se deberá permitir la reutilización de las últimas seis.
XXV. Prohibirá las conexiones inalámbricas (Bluetooth, wifi, entre otros).
XXVI. Prohibirá o restringirá la salida a Internet del servidor.
XXVII. Deberá contar a nivel sistema operativo y aplicativo, con bitácoras donde se registre la creación, modificación y borrado de cuentas, la asignación de privilegios, entre otros.
XXVIII. Cuando se dé de baja el servidor o si se cambia algún disco, se deberá hacer un borrado seguro de la información.
XXIX. Contará con restricciones para conexión de acceso remoto (permisos puntuales a solo un número limitado de equipos y no se puede tener mapeos a equipos para compartir carpetas).
TRANSITORIOS
PRIMERO. La presente Circular entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.
SEGUNDO. Las Instituciones para el Depósito de Valores deberán someter a la autorización del Banco de México, además de la Comisión Nacional Bancaria y de Valores, que prevé el artículo 294 de la Ley, el proyecto de modificaciones a su reglamento interior para instrumentar lo señalado en las presentes Disposiciones dentro de un plazo de seis meses a partir de la entrada en vigor indicada en el artículo transitorio anterior.
Ciudad de México, a 22 de septiembre de 2020.- BANCO DE MÉXICO: El Director General de Sistemas de Pagos e Infraestructuras de Mercados, Manuel Miguel Ángel Díaz Díaz.- Rúbrica.- El Director General Jurídico, Luis Urrutia Corral.- Rúbrica.
Para cualquier consulta sobre el contenido de la presente Circular, el Banco de México se pone a su disposición a través de la Dirección de Autorizaciones y Sanciones de Banca Central al teléfono (55) 5237-2000 extensión 3200.
