MODIFICACIONES y adiciones a las Disposiciones de carácter general en materia de operaciones de los Sistemas de Ahorro para el Retiro.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional del Sistema de Ahorro para el Retiro.
MODIFICACIONES Y ADICIONES A LAS DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE OPERACIONES DE LOS SISTEMAS DE AHORRO PARA EL RETIRO
El Presidente de la Comisión Nacional del Sistema
de Ahorro para el Retiro, con fundamento en lo previsto en los artículos 1o,
2o, 5o fracciones I, II, III, IV, VI, VII, XIII bis y XVI, 12 fracciones I, VI,
VIII y XVI, 18, 18 bis, 19, 20, 21, 25, 26, 29, 30, 31, 36, 37, 37 A, 37 C, 39,
40, 41, 43, 47, 47 bis, 53, 57, 58, 59, 64, 64 bis, 64 ter, 65, 70, 74,74 bis,
74 ter, 74 quáter, 74 quinquies, 76, 77, 78, 79, 80, 88, 89 90 fracciones II,
IV y XIII, 91, 99, 111 y 113 de la Ley de los Sistemas de Ahorro para el
Retiro; 167, 175, 176, 177, 179, 181, 182, 187, 188, 191 fracción II, 192, 195,
198 y 200 de la Ley del Seguro Social; 2o., 13, 21, 26, 64, 76, 77, 78, 83, 87,
91, 93, 97, 98, 100, 101, 102, 105 fracción VII, 106, 108 fracción II, inciso
c, 119 y 123 fracción II, así como Quinto, Séptimo, Décimo, Décimo Primero,
Vigésimo Segundo, Vigésimo Cuarto, Vigésimo Quinto, Vigésimo Sexto y Vigésimo
Séptimo Transitorios del Decreto por el que se expide la Ley del Instituto de
Seguridad y Servicios Sociales de los Trabajadores del Estado; 1o., 5o. último
párrafo, 29 fracción II, 34, 38, 40, 43, 43 bis y Octavo Transitorio de la Ley
del Instituto del Fondo Nacional de la Vivienda para los Trabajadores; 1o, 14,
15, 16, 23, 25, 28, 29, 30, 31, 32, 33, 34, 35, 37, 38, 39, 40, 41, 42, 43, 44,
45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 59 61, 62, 63, 64, 65, 66, 67, 68,
69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88,
89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 106, 109, 110, 111, 112, 113, 114, 115,
116, 117, 118, 119, 120, 121, 122, 123, 139, 140 y 154 del Reglamento de la Ley
de los Sistemas de Ahorro para el Retiro; 1, 2 fracción III y 8o. primer
párrafo del Reglamento Interior de la Comisión Nacional del Sistema de Ahorro
para el Retiro, y
CONSIDERANDO
Que la tendencia global de utilizar herramientas tecnológicas denominadas “RegTech” para el cumplimiento de requerimientos regulatorios, hace esencial permitir a los Participantes en los Sistemas de Ahorro para el Retiro, el desarrollo e implementación de modelos de autenticación biométrica y mecanismos no presenciales para facilitar la realización de cualquier trámite, lo anterior con la finalidad de reducir significativamente los costos del cumplimento regulatorio y optimizar los procesos inherentes;
Que es imperante que las Administradoras, en cumplimiento al objeto de atender al interés de los Trabajadores que se encuentran más cercanos al retiro, implementen un mecanismo de contacto con este sector, para informarles sobre los derechos relacionados con su Cuenta Individual, así como las opciones de retiro y los trámites que deben llevar a cabo para que ejerzan, en su caso, sus derechos pensionarios de forma oportuna e informada;
Que en los últimos años, los avances en el uso de tecnologías de la información y comunicaciones en el Sistema Financiero Mexicano, han traído múltiples ventajas, sin embargo al mismo tiempo han ocasionado el incremento del número de ataques informáticos mermando la reputación, credibilidad, y patrimonio de algunos sectores financieros, lo que hace imperante que las autoridades financieras y sus entidades reguladas tomen acciones para detectar y prevenir estos riesgos;
Que el 24 de mayo de 2018, las Autoridades del Sector Financiero Mexicano, la Procuraduría General de la República y las Asociaciones Gremiales de las diversas entidades financieras del país, firmaron las Bases de Coordinación en materia de Seguridad de la Información, derivado de lo anterior, esta Comisión en el ámbito de sus respectiva competencia, considera necesario la actualización de la regulación en materia de seguridad de la información, particularmente de los requisitos y prácticas que las Administradoras, Empresas Operadoras y Prestadoras de Servicio deben observar para mitigar los actos que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información en los Sistemas de Ahorro para el Retiro;
Que con la finalidad de facilitar el ejercicio efectivo de los derechos de los Trabajadores susceptibles de requerir la Constancia sobre implicaciones del Traspaso, se considera necesario que dicho proceso se lleve a cabo a través de la Aplicación Móvil, lo cual permitirá reducir costos tanto para los solicitantes como para los Participantes de los Sistemas de Ahorro para el Retiro, en función de que la misma podrá ser solicitada en cualquier momento y de forma remota;
Que con el objetivo de implementar políticas públicas de mejora regulatoria para el perfeccionamiento de las regulaciones y la simplificación de los trámites en los Sistema de Ahorro para el Retiro, resulta necesario simplificar el proceso de Registro y Traspaso, de modo que se eficienten los tiempos de atención y respuesta, por lo que es conveniente prescindir de diversos elementos relacionados con la constancia de Registro y Traspaso;
Que con el objeto de regular y mantener el buen funcionamiento de los Sistemas de Ahorro para el Retiro, es procedente dictar las disposiciones pertinentes que regulen la participación de terceros que auxilien a las Administradoras en la implementación de modelos tecnológicos, iniciativas que estimulen el ahorro voluntario u otros aspectos de inclusión financiera a través innovaciones, pilotos y estudios;
Que con el propósito de impulsar la inclusión financiera en los Sistemas de Ahorro para el Retiro, es necesario regular y dar seguridad jurídica a las Administradoras, sobre la administración de las Cuentas Individuales de los menores de edad con precisiones normativas respecto a sus características y funcionamiento, y
Que la Secretaría de Hacienda y Crédito Público a través de esta Comisión, da cumplimiento a lo establecido en el artículo 78 de la Ley General de Mejora Regulatoria, así como al artículo Quinto del “Acuerdo que fija los lineamientos que deberán ser observados por las dependencias y organismos descentralizados de la Administración Pública Federal, en cuanto a la emisión de los actos administrativos de carácter general a los que les resulta aplicable el artículo 69-H de la Ley Federal de Procedimiento Administrativo”, conforme a lo detallado en presentes modificaciones y adiciones, mismas que derogan cuarenta y un obligaciones que generan beneficios y ahorros superiores a los costos de implementación, ha tenido a bien expedir las siguientes:
MODIFICACIONES Y ADICIONES A LAS DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE OPERACIONES DE LOS SISTEMAS DE AHORRO PARA EL RETIRO
PRIMERO.- Se ADICIONAN los artículos 1, fracción LII bis, 4, con la fracción VII; 14, con un cuarto párrafo; 23 ter; 62 bis; 62 ter; 90, con las fracciones V y VI y un segundo párrafo en la fracción IV; 90 bis; 149 bis con un cuarto párrafo; 160, fracción VII; 180, fracción III con un inciso c y un cuarto párrafo; 210 quáter; al Capítulo III “de la administración de cuentas individuales”, una sección VII “De la Administración de las Cuentas Individuales de los menores de edad”, con los artículos 243 bis y 243 ter; 248, con un cuarto párrafo, recorriéndose los actuales párrafos cuarto y quinto para quedar como quinto y sexto respectivamente, 274 bis; 274 ter; 274 quáter; 337 bis; 337 ter; se MODIFICAN los artículos 1, fracciones IV, IX bis, XII, LXI bis, LXVI, LXXIII, CXXX bis y CXXXVI; 4, fracciones V y VI; 5, sexto párrafo; 12, segundo párrafo; 14, tercer párrafo; 23 bis; 57 fracción II; 90, fracción III; 92, fracción II, inciso b, inciso c, del inciso d, su numeral i, inciso f y su numeral iv; 129 segundo párrafo; 139; 148, fracciones III y V; 149 bis segundo párrafo; 149 bis A, inciso b; 149 bis E, fracciones I y II; 150, fracción III; 153, primer párrafo; 155 primer párrafo; 156 fracción I, inciso a; 168, fracciones III y VIII y último párrafo; 172, primero y segundo párrafos; 173, fracción III; 176 primer párrafo; 179, segundo párrafo; 180, fracción I, inciso e, fracción III, segundo y tercer párrafos, y el inciso a; 182, primer párrafo; 189, fracciones II, para quedar como II y II bis, VI y XI; 195 tercer párrafo; 210 bis, primero, segundo y tercer párrafos; 214, primer párrafo; 217, primer y tercer párrafo, y fracción II; 219, fracción VI; 229, primero, segundo y cuarto párrafos; 248, primero y tercer párrafos; 249; 250; 258, primer párrafo; la denominación de la Sección I del Capítulo VIII; 296, primero y segundo párrafos, y el inciso a del quinto párrafo; 297; 298; 299; 300, tercero y cuarto párrafo; 301 primero y segundo párrafos; 302; 309, segundo párrafo; 329; 346 primer párrafo; 387 bis, último párrafo; 406 ter, fracción II; 419, primer párrafo; 437; el Anexo B, fracciones III, V y último párrafo, y Anexo M y se DEROGAN los artículos, 9 fracciones III y VI; 136; 137; 138; 148, su último párrafo y el inciso a de la fracción II, 158, fracciones II y III, del segundo párrafo sus incisos b y c; 160, fracción IV; 168, el inciso a de la fracción II; 183, el inciso a de la fracción I; 185, fracciones II y III y los incisos b y c del segundo párrafo; 210 bis, su último párrafo y las fracciones I y II del primer párrafo, y 424, el párrafo segundo de la fracción I, para quedar en los siguientes términos:
DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE OPERACIONES DE LOS SISTEMAS DE AHORRO PARA EL RETIRO
TÍTULO PRIMERO
DISPOSICIONES GENERALES
“Artículo 1.
…:
I. al III …
IV.
Agente de Servicio, a la
persona contratada o subcontratada por la Administradora, autorizada para
intervenir en la conformación, actualización y validación de los Expedientes de
Identificación del Trabajador, así como para recibir y atender las solicitudes
de servicios de conformidad con las disposiciones en materia de servicio a los
usuarios del Sistema de Ahorro para el Retiro que emita la Comisión, así como
los demás trámites que los Trabajadores soliciten ante las Administradoras en
términos de las presentes disposiciones de carácter general;
V. al IX. …
IX
bis. Aplicación Móvil, a la
aplicación informática de operación remota conformada por un conjunto de
módulos informáticos que permita corroborar los datos e información de los
Trabajadores que prevé el Factor de autenticación categoría 3 a que se refiere
el Anexo B de las presentes disposiciones de carácter general y que de manera
parcial o total permita, a través de dichos módulos, procesar información
generada por los Trabajadores de manera directa o a través de Empresas de
Apoyo, misma que se envía a las Administradoras o a las Empresas Operadoras
para su procesamiento;
X. al XI. …
XII. Aportaciones de Ahorro a Largo
Plazo, los montos enterados por los Trabajadores a la subcuenta prevista en la
fracción VII del artículo 35 del Reglamento, y a los que se les aplique el
estímulo fiscal a que se refiere el artículo 185 de la Ley del Impuesto Sobre
la Renta;
XIII.
al LII. …
LII
bis. Empresa de Apoyo, las personas morales que contraten las Empresas
Operadoras o las Administradoras, directamente o a través de las Empresas
Operadoras, para prestar servicios de ventanilla a los Trabajadores para
facilitar el Registro Móvil y otros servicios que la Comisión autorice, de
conformidad con las presentes disposiciones de carácter general;
LIII. al LXI. …
LXI bis. Expediente
Móvil, al conjunto de imágenes e información individual, ordenada y detallada
que se almacene en Medios Electrónicos conforme al artículo 149 bis D de las
presentes disposiciones de carácter general y que permiten la identificación de
las personas en los Sistemas de Ahorro para el Retiro;
LXI ter. a LXV. …
LXVI. Firma Biométrica, la firma que hace
una persona a través de la impresión de sus elementos biométricos, capturados y
almacenados en Medios Electrónicos, que hacen constar su voluntad y permiten
corroborar su identidad en los Sistemas de Ahorro para el Retiro, a través del
reconocimiento de características unívocas biométricas registradas en el Enrolamiento Biométrico, ya sea a través de la huella digital, o el reconocimiento
de la voz, facial o cualquier otro elemento biométrico autorizado por la
Comisión;
LXVII al LXXII. …
LXXIII. Folio de Queja o Servicio, al folio único que las
Administradoras deberán asignar a cada una de las solicitudes de servicios o de
quejas que presenten los Trabajadores o los Beneficiarios, en su caso, ya sea a
través de la Unidad Especializada, oficinas, sucursales, del centro de atención
telefónica de la Administradora, la Página Web o cualquier otro medio de
atención que las Administradoras tengan a disposición de los Trabajadores y el
público en general;
LXXIV. al CXXX. …
CXXX Bis. Sello Biométrico Único, la cadena de datos
generada y asignada por las Empresas Operadoras o las Administradoras que
cuenten con la autorización de la Comisión a cada Firma Biométrica mediante la
cual se verifica la identidad biométrica del Trabajador, funcionarios y
empleados de las
Administradoras que correspondan de conformidad con el Enrolamiento Biométrico
registrado en la Base de Datos Nacional SAR;
CXXXI. al
CXXXV. …
CXXXVI. Sistema de Recepción de Información, al
administrado por las Empresas Operadoras a través del cual las Dependencias,
Entidades y Aseguradoras deberán realizar el pago de Cuotas y Aportaciones,
Ahorro Voluntario, descuentos y demás pagos, que en su caso, deban efectuar a
las Cuentas Individuales los Trabajadores ISSSTE;
CXXXVII. al CLXIV. …”
“Artículo
4. …
El Manual de Políticas y Procedimientos deberá
contener cuando menos los siguientes apartados:
I. a IV. ...
V. Disposición de recursos,
VI. Seguridad de la información, continuidad en la operación y Riesgo Operativo, y
VII. Aquello que se establezca de conformidad con las demás disposiciones de carácter general que emita la Comisión.”
...
...
...
...
...
...”
“Artículo
5. ...
…
…
…
…
En el Manual de Procedimientos Transaccionales se
detallará la operación de los Medios Electrónicos y del Sistema
de Recepción de Información, la participación que
deberán ejecutar las Administradoras, Institutos de Seguridad Social,
Trabajadores, Dependencias, Entidades y Aseguradoras, así como para el
intercambio de información para el entero y depósito de recursos, el registro y
la actualización de información y la demás información necesaria para el
depósito de los recursos en las Cuentas Individuales de los Trabajadores.
…”
“Artículo 9. …:
I. a II. …
III. Se deroga.
IV. al V. …
VI. Se deroga.
VII. al IX. …
…
…
a) al f)
…”
“Artículo
12. ...
Las solicitudes de servicios de administración de
cuenta que las Administradoras reciban de acuerdo con lo previsto en el
presente artículo, se deberán atender, dar seguimiento y resolver dentro de los
plazos previstos para cada uno de los procesos en las presentes disposiciones
de carácter general. Asimismo, las Administradoras deberán asignar un Folio de
Queja o Servicio, a cada una de las solicitudes de
los Trabajadores o Beneficiarios que reciban en términos del presente artículo.
…”
“Artículo
14. ...
…
Por lo menos una vez al año, las Administradoras
deberán contactar telefónicamente o a través de correo certificado con acuse de recibo a los Trabajadores que tengan 60 años de edad o
más, que
no hayan iniciado con su trámite de pensión, con el fin de informarles las características de su Cuenta
Individual, las opciones de retiro con que cuentan y los trámites que deberán
llevar a cabo para obtener la pensión que en su caso les corresponda. Las Administradoras
deberán conservar las evidencias del contacto con el Trabajador. Cuando el Trabajador tenga 65 años o más, la Administradora de que se
trate deberá comunicarle al Trabajador en el envío de cada estado de
cuenta que, en su caso, cuenta con recursos que puede
disponer de acuerdo con lo que se establece en el artículo 408 de las presentes
disposiciones de carácter general. Mientras el Trabajador no haya sido
contactado conforme a lo establecido en este párrafo y mientras no inicie con
su trámite de pensión, dicho envío deberá ser a través de correo certificado, o
a través de correo electrónico si así lo solicitó expresamente el Trabajador y
las Administradoras deberán conservar las evidencias del envío del correo y el
resultado del contacto con el Trabajador.
Las Administradoras sólo podrán suspender el intento de contacto y el envío de los comunicados al Trabajador establecidos en los párrafos que anteceden cuando después del tercer intento de contacto se cercioren que la dirección proporcionada no existe, o que el Trabajador o el Trabajador no Afiliado no tiene su domicilio en el lugar indicado, así como cuando no cuenten con datos que le permitan contactar al Trabajador.”
“Artículo 23 bis. Las Empresas Operadoras deberán generar y enviar a la Administradora de que se trate, un Sello Biométrico Único cada vez que el Trabajador proporcione su Firma Biométrica, para cualquiera de los servicios presenciales a que se refiere el artículo 209 de las presentes disposiciones de carácter general, conforme a los criterios, lineamientos y excepciones que se establezcan en el Manual de Procedimientos Transaccionales.”
“Artículo 23 ter. Las Administradoras podrán implementar el uso de
modelos de autenticación que utilicen elementos de validación biométrica para
generar un folio que sea utilizado en sustitución al factor de autenticación
alternativo del Sello Biométrico Único; para tal efecto deberán solicitar a la
Comisión la autorización a la que se refiere el artículo 62 ter de las
presentes disposiciones de carácter general.”
“Artículo 57. …:
I. …;
II.
Inscribir sus acciones en el Registro Nacional de Valores y en una bolsa de valores
autorizada para organizarse y operar en términos de la Ley del Mercado de
Valores, y
III. ...”
“Artículo 62 bis.- Las Administradoras podrán desarrollar modelos de
autenticación biométrica que sustituyan el Sello Biométrico Único y que
permitan identificar a los Trabajadores cuando estos soliciten cualquier
servicio a que se refiere el artículo 209 de las presentes disposiciones de
carácter general. Dichos modelos deberán estar diseñados de forma que se
vinculen a la infraestructura desarrollada por las Empresas Operadoras de modo
que éstas puedan reconocer los folios emitidos por los modelos referidos.
Para efectos del presente
artículo, los modelos de autenticación biométrica son aquellos procesos de
autenticación En Línea y Tiempo Real que confrontan los datos biométricos
proporcionados por el Trabajador contra identificaciones oficiales, expedientes
de identificación y bases de datos oficiales operadas por autoridades de la
Administración Pública Federal, Organismos Constitucionales Autónomos y
entidades nacionales autorizadas, supervisadas y reguladas por autoridades
financieras de la Administración Pública Federal, que permiten identificar a
los Trabajadores, cuando estos acudan a solicitar cualquiera de los servicios a
los que se refiere el artículo 209 de las presentes disposiciones de carácter
general.
Las
Administradoras que implementen los modelos a que se refiere esté artículo,
deberán celebrar con los terceros referidos en el párrafo anterior, los
convenios de confidencialidad necesarios para que la información de los
Trabajadores se utilice únicamente para la gestión del trámite que éstos
soliciten. Las Administradoras serán responsables en todo momento del cumplimiento
de la normatividad en materia de protección de datos personales que resulte
aplicable.
“Artículo 62 ter. Las Administradoras que requieran desarrollar los
modelos de autenticación biométrica a que se refiere el artículo anterior,
deberán presentar a la Comisión una solicitud de autorización la cual deberá
contener al menos lo siguiente:
I. Objeto;
II. Servicios
que se prestarán utilizando el modelo;
III. Descripción
del modelo;
IV. Fecha de
inicio de operaciones;
V. Análisis de
viabilidad técnica y operativa del modelo de autenticación biométrica para
su operación;
VI. Descripción
de los mecanismos que garanticen la seguridad, integridad y confidencialidad de
la información biométrica proporcionada por el Trabajador a través del modelo
de autenticación biométrica;
VII. Generación
y disponibilidad de bitácoras que sean auditables y que permitan verificar
aquella información que sirva como evidencia para la determinación el
cumplimiento del modelo de autenticación biométrica; dichas bitácoras deberán
estar a disposición de la Comisión, y
VIII. Cualquier
otro elemento que la Administradora considere que sea necesario para facilitar
el análisis de la solicitud por parte de la Comisión.
La Comisión en términos de
lo previsto por la Ley, podrá requerir a la Administradora solicitante
cualquier información adicional que considere necesaria para en su caso,
pronunciarse respecto de la autorización
del modelo.
La autorización que en su
caso emita la Comisión, tendrá una vigencia de tres años, la cual podrá ser renovada
por periodos iguales, siempre que dicha solicitud sea presentada por la
Administradora interesada al menos treinta días hábiles previos a la fecha del
vencimiento.
La confronta y comparación
que se realice utilizando los modelos de autenticación biométrica a que se
refieren los párrafos que anteceden, podrá ser realizada por las
Administradoras a través de terceros que hayan sido evaluados por las propias
Administradoras, considerando un análisis de riesgos y vulnerabilidades, y que
de acuerdo a dicha evaluación, la Administradora determine que el modelo cumple
con las características señaladas en el Anexo B, Factores de Autenticación, de
las presentes disposiciones de carácter general.
Las Administradoras
deberán asegurarse que el funcionamiento y operación de los modelos biométricos
que se les autoricen en términos del presente artículo, se sujete a la
normatividad vigente en los Sistemas de Ahorro para el Retiro.
Las Empresas Operadoras
deberán aceptar los folios emitidos por los modelos de autenticación biométrica
autorizados por la Comisión.
En caso de que los modelos
de autenticación biométrica autorizados, dejen de cumplir con los requisitos
necesarios para su operación o no garanticen la seguridad de las transacciones
o de la información biométrica del Trabajador, la Comisión podrá ordenar la
suspensión de las operaciones de dichos modelos o revocar la autorización de
los mismos.”
“Artículo
90. …:
I. al II. …
III. Controlar el uso y acceso a la información, que obtengan en ejercicio de sus funciones o a través de los Agentes Promotores, Agentes de Servicio, funcionarios, empleados y demás personas que les presten sus servicios; así como verificar que éstos no almacenen, acumulen, difundan o concentren datos personales de los Trabajadores, para fines distintos a los establecidos a los Sistemas de Ahorro para el Retiro.
…
IV. …
Los planes
de contingencia a que se refiere la presente fracción deberán de actualizarse
al menos una vez al año o antes, en caso de que el participante realice una
modificación a la infraestructura, proveedores, procesos o responsables de la
operación; asimismo, deberán de realizar pruebas integrales de los planes de
contingencia abarcando todos los procesos que soporten la operación y que
permitan seguir brindando todos los servicios a los usuarios,
así como cumplir con todos los requerimientos que establece la normatividad
vigente con
una periodicidad que no exceda los doce meses calendario contado a partir de la
última
prueba realizada.
V. Contar con
los recursos humanos y materiales necesarios que les permitan operar las
tecnologías de la información con las que cuenten de conformidad con estándares
de
seguridad tecnológica y cibernética que tengan por objetivo la protección de la
información relacionada con los Sistemas de Ahorro para el Retiro, los datos
personales de los Trabajadores y sus recursos.
VI. Integrar un área o unidad específica que se constituya
dentro de la estructura de la Administradora, las Empresas Operadoras y
Prestadoras de Servicio, encargada de los aspectos relacionados con la
administración del Riesgo Tecnológico, seguridad tecnológica y cibernética así
como de la seguridad de la información que se procese, transmita y resguarde a
través de tecnologías de la información a que se refiere el artículo 92 de las
presentes disposiciones de carácter general.
El área o unidad a que se refiere
esta fracción deberá de contar con personal certificado en materia de seguridad
cibernética; dichas certificaciones deberán estar avaladas por organismos
internacionales de estandarización.
Adicionalmente, podrán contar con
mecanismos de transferencia de riesgos contratados con entidades de seguros u
otras entidades que los provean para cubrir o mitigar lo siguiente:
a. Eventos
que vulneren la seguridad tecnológica;
b. Eventos
que vulneren la seguridad cibernética;
c. Eventos
que vulneren la seguridad de la información;
d. Eventos
que vulneren la seguridad de las tecnologías de la información, y
e. Eventos
que actualicen cualquier otro Riesgo Tecnológico.”
“Artículo 90 bis. Las Administradoras, Empresas Operadoras y
Prestadoras de Servicio, a través de sus asociaciones gremiales podrán
establecer grupos, canales o medios de comunicación que les permitan
identificar, comunicar, difundir o detectar posibles vulnerabilidades,
amenazas, riesgos tecnológicos y/o riesgos de procesos operativos, de manera
que les permita atender o reaccionar de manera oportuna ante amenazas o riesgos
a la seguridad, confidencialidad, disponibilidad de la información de los
Sistemas de Ahorro para el Retiro.”
“Artículo 92. …:
I. …
a. al h. …
...
...
II. …:
a. …
b. Evaluar al menos una vez al año, la suficiencia, integridad, consistencia y grado de integración de los sistemas tecnológicos que utilicen en el procesamiento de información, así como para el análisis de riesgos y de su contenido;
c. Evaluar al menos una vez al año, la vulnerabilidad a que puedan estar expuestos en el hardware, software, sistemas, aplicaciones, seguridad, recuperación de información, redes y cualquier otro tipo de tecnología de la información que implementen, por errores de procesamiento u operativos, fallas en los procedimientos, capacidades inadecuadas e insuficiencias de los controles instalados, entre otros. Asimismo, al menos una vez al año, deberán de realizar una auditoría, a través de una empresa cualificada y certificada en materia de seguridad de la información por un organismo internacional de estandarización, sobre las vulnerabilidades a que se refiere el párrafo que antecede, debiendo reportar los resultados de la auditoría a la Comisión a más tardar en el último día hábil del mes inmediato posterior a la recepción del dictamen correspondiente, incluyendo un programa de trabajo para fortalecer y minimizar las vulnerabilidades detectadas;
d. …
i. Mantener
políticas y procedimientos actualizados que aseguren en todo momento los
niveles de calidad de los servicios, así como la seguridad e integridad de la
información. Lo anterior, con énfasis en los casos en los que las
Administradoras contraten la prestación de servicios por parte de proveedores
externos, para el procesamiento y almacenamiento de dicha información;
ii. …
iii. …
e. …
f. En el caso de las Páginas Web, dispositivos móviles centros de atención telefónica, en las Unidades Especializadas, oficinas, sucursales u otros Medios Electrónicos, que estén a disposición de los Trabajadores, considerar lo siguiente:
i.a
iii. …
iv. Diseñar, implementar y mantener
actualizados planes de contingencia, a fin de asegurar la capacidad y
continuidad de los sistemas implementados para prestar distintos servicios y
operaciones, a través de Medios Electrónicos. Dichos planes deberán comprender,
además, las medidas necesarias que permitan minimizar, controlar y reparar los
efectos generados por eventualidades que, en su caso, llegaran a afectar el
continuo y permanente funcionamiento de los servicios.
Los planes de
contingencia a que se refiere el presente numeral deberán de actualizarse al
menos una vez al año o antes, en caso que el participante realice una
modificación a la infraestructura, sistemas, proveedores, procesos o
responsables de la operación. Asimismo deberán de realizar pruebas a dichos
planes de contingencia con una periodicidad que no exceda los doce meses
calendario contado a partir de la última prueba realizada.
v. …
1 y 2. …
III. …
a. al d. …”
“Artículo
129. ...
Para tal efecto, las Empresas Operadoras deberán
determinar la edad de los Trabajadores, tomada con base en los lineamientos que
para tal efecto establezca la Comisión, e integrar en grupos homogéneos las
Cuentas Individuales para asignación y reasignación, distinguiendo en el último
caso si éstas son Reasignadas por primera vez o por Reasignaciones
subsecuentes, tomando en consideración la edad de los Trabajadores, el salario
base de cotización, el número de aportaciones que registren las cuentas
individuales, y la ubicación geográfica de la subdelegación del IMSS, conforme
a lo previsto en el Manual de Procedimientos Transaccionales.”
“Artículo
136. Se deroga.”
“Artículo
137. Se deroga.”
“Artículo
138. Se deroga.”
“Artículo
139. Las Empresas Operadoras
deberán asignar un folio a la Solicitud de Registro o Traspaso que sea único e
irrepetible mismo que deberá ajustarse a
los lineamientos, criterios y características que para tal efecto éstas
establezcan en el Manual de Procedimientos Transaccionales. El folio deberá quedar impreso en dicha
solicitud.
Las Empresas Operadoras
deberán enviar en Línea y en Tiempo Real al Trabajador el folio de la Solicitud
de Registro o Traspaso. Las Empresas Operadoras deberán establecer los
criterios que permitan que el folio se asocie a la información de la Cuenta
Individual del Trabajador y a la contenida en la solicitud de Registro
o Traspaso.
Los folios de las Solicitudes de Registro o Traspaso tendrán una vigencia de diez días hábiles contados a partir de su fecha de emisión. Dentro de ese plazo, los folios estarán vigentes hasta la fecha de firma de las Solicitudes de Registro o Traspaso.”
“Artículo
148. …:
I. …
II. Asegurarse que el Trabajador asiente su nombre completo, Firma Biométrica y Firma Manuscrita Digital, con los que manifieste que conoce el alcance, su contenido y que es su voluntad realizar el trámite, en los siguientes documentos:
a. Se
deroga.
b. al d. …
…
III. Obtener el Folio para la Solicitud de Registro a la
que hace referencia el artículo 139 anterior;
IV. …
V. Registrar y almacenar un video que contenga la manifestación del Trabajador en la que exprese su consentimiento para el Registro y confirme sus datos personales y de contacto, de conformidad con las características establecidas en el Manual de Procedimientos Transaccionales. Las Administradoras serán responsables del resguardo y conservación del video, debiendo mantenerlo a disposición de la Comisión e implementar las medidas de seguridad necesarias para garantizar que no sea manipulable.
Se deroga.”
“Artículo 149 bis. …:
I. al II. …
La solicitud de Registro Móvil tendrá una vigencia de 5 días hábiles contados a partir de la generación de la solicitud de Registro Móvil realizada por el Trabajador. No se podrá realizar una nueva solicitud de Registro Móvil para un mismo Trabajador durante la vigencia de la solicitud o en su caso, hasta que dicha solicitud sea rechazada por la Administradora. La Comisión establecerá el diseño de la solicitud de Registro Móvil.
…
Cuando las Administradoras
directamente o a través de Empresas de Apoyo faciliten el trámite de Registro
Móvil a través de alguno de los módulos de la Aplicación Móvil en dispositivos
electrónicos que no sean propiedad del Trabajador, deberán grabar al momento de
realizar el trámite del Registro Móvil, un video que contenga la manifestación
del Trabajador en la que exprese su consentimiento para el Registro Móvil y
confirme sus datos personales y de contacto, de conformidad con las características
establecidas en el Manual de Procedimientos Transaccionales, dicho video deberá
ser almacenado por las Administradoras. Asimismo, las Administradoras deberán
mantener a disposición de la Comisión dichos videos e implementar las medidas
de seguridad necesarias para garantizar que los datos e información que se
genere no
sean manipulables.”
“Artículo 149 bis A. …:
a. …, y
b. Marcar la solicitud de Registro Móvil como pendiente de certificación en la Base de Datos Nacional SAR, cuando se trate de Trabajadores asignados o pendientes de asignar, de conformidad con lo dispuesto en el Manual de Procedimientos Transaccionales.
…”
“Artículo 149 bis E. …:
I. En caso de que el Trabajador que solicite el Registro Móvil sea Asignado solicitar a las Empresas Operadoras la certificación del Registro Móvil para actualizar los datos en la Base de Datos Nacional SAR, y
II. En caso de que el Trabajador que solicite el Registro Móvil sea No Afiliado solicitar a las Empresas Operadoras que se exente del proceso de depuración de la Base de Datos Nacional SAR.
…
…
...”
“Artículo
150. …:
I. al II. …
a. al e. …
III. Folio de la Solicitud de Registro o el folio que lo sustituya y que sea
generado por las Empresas Operadoras mediante la Aplicación Móvil;
IV. al V. …
VI. ...
a. al c. …
VII y VIII. …
…
…”
“Artículo
153. Las Administradoras deberán
asegurarse que los Trabajadores o Beneficiarios, en su caso, asienten su Firma
Manuscrita Digital, tratándose de Trabajadores, adicionalmente deberán asentar
su Firma Biométrica en la Solicitud de Registro, a través de los Medios
Electrónicos que las Administradoras pongan a su disposición, una vez que la
Solicitud se encuentre debidamente integrada.
…”
“Artículo
155. Las Administradoras, a través
de su área de operaciones, deberán establecer controles de verificación
orientados a asegurar la identidad y garantizar el ejercicio de la voluntad de
los Trabajadores, siendo la aplicación de los controles responsabilidad
exclusiva de las Administradoras. Los controles de verificación que establezcan
las Administradoras, deberán considerar, al menos, la revisión de una muestra
estadísticamente representativa con un intervalo de confianza no menor al
noventa por ciento, de las manifestaciones de los Trabajadores almacenadas en
los videos obtenidos al momento de la tramitación de la Solicitud de Registro,
contra la información contenida en la Solicitud de Registro.
…
...
...
...
...
...”
“Artículo
156. …:
I. La medición del riesgo de la gestión del proceso, mediante un sistema de riesgo por puntajes que incluya, al menos:
a. Los resultados de la verificación de las manifestaciones de los Trabajadores en los videos obtenidos al momento del trámite de Registro, y
b. …
II. a IV. …
…”
“Artículo
158. …:
I. …
II. Se
deroga.
III. Se deroga.
…:
a. …
b. Se deroga.
c. Se deroga.
...
...
....”
“Artículo
160. …:
I. al III. …
IV. Se
deroga.
V.al VI. …
VII. Que el número
celular registrado por el Trabajador en la Solicitud de Registro, en su caso,
asociado a la Aplicación Móvil, no pertenezca al celular de otro Trabajador
registrado en la Base de Datos Nacional del SAR durante al menos un periodo de
cuatro meses;
…:
a)
y b) ...
...”
“Artículo 168. …:
I. …;
II. …:
a. Se deroga.
b. al d. …
...
III. Obtener el Folio para la Solicitud de Traspaso a la que hace referencia el artículo 139 anterior;
IV. …;
V. …:
a. a c. ...
VI. al VII. …
VIII. Registrar y almacenar un video
que contenga la manifestación del Trabajador en la que exprese su
consentimiento para el Traspaso y confirme sus datos personales y de contacto, de conformidad con las características
establecidas en el Manual de Procedimientos Transaccionales. Las
Administradoras serán responsables del resguardo y conservación del video,
debiendo mantenerlo a disposición de la Comisión e implementar las medidas
de seguridad necesarias para garantizar que no sea manipulable.
Las Administradoras que opten por el uso de la Aplicación Móvil, podrán
sustituir el Folio del Estado de Cuenta y la imagen digitalizada del mismo, a
que hace referencia la fracción V del presente artículo.”
“Artículo 172. Las Administradoras Receptoras deberán utilizar la
información personal contenida en los Expedientes de Identificación del
Trabajador, para generar y pre-llenar las Solicitudes de Traspaso, contratos de
administración de fondos para el retiro y Documentos de Rendimiento Neto. Las
Administradoras Receptoras deberán utilizar mecanismos que garanticen la
integridad, seguridad y confidencialidad de la información para extraer
automáticamente la información de los Expedientes de Identificación de los
Trabajadores y pre-llenar la información en los documentos a que se refiere el
presente artículo.
Las
Administradoras deberán asegurarse que por ningún motivo la información
contenida en el Expediente de Identificación del Trabajador se encuentre
disponible o se almacene en algún dispositivo o medio electrónico o bien,
cualquier otra forma, por un periodo mayor a diez días hábiles a partir de la
fecha de extracción de la información. La información extraída del Expediente
de Identificación del Trabajador deberá existir únicamente en la Solicitud de
Traspaso, el contrato de administración de fondos para el retiro y el Documento
de Rendimiento Neto; la cual deberá permanecer resguardada en los sistemas
informáticos que la Administradora Receptora determine, bajo los mecanismos que
garanticen la integridad, seguridad, confidencialidad de la información, así
como bitácoras de auditoría que permitan verificar la correcta gestión de la
información del Expediente consultado.
...
…”
“Artículo 173. …:
I. y II. …:
a. al e. …;
III. Folio de la Solicitud de Traspaso o el folio que lo sustituya y que sea generado por las Empresas Operadoras mediante la Aplicación Móvil;
IV. al X. …
...
…
...”
“Artículo 176.
Las Administradoras Receptoras deberán asegurarse que los contratos de
administración de fondos para el retiro, los Documentos de Rendimiento Neto y
las Solicitudes de Traspaso que pongan a disposición de los Trabajadores
cumplan con los requisitos previstos en los Anexos “A”, “C” y “E” de las
presentes disposiciones de carácter general, se encuentren vigentes,
personalizados, así como que los campos para que los Trabajadores y los Agentes
Promotores ingresen su Firma Biométrica y su Firma Manuscrita Digital se
encuentren dentro del mismo documento y a la vista del Trabajador.
…
...”
“Artículo 179.
...
Los números de folio que
asignen las Administradoras a las constancias sobre implicaciones de Traspaso
deberán ser únicos e irrepetibles.
...
...”
“Artículo 180. …:
I. …:
a. al
d. …
e. Recibir
de los Trabajadores los avisos en los que manifiesten no haber recibido la
constancia sobre implicaciones del Traspaso conforme a los supuestos descritos
en
la fracción III del presente artículo.
II. …:
a. al
d. …
III. …:
a. Si
el domicilio que el Trabajador proporcionó al solicitar la constancia sobre
implicaciones del Traspaso en el E-SAR no corresponde a una Zona Metropolitana
donde la Administradora tenga oficinas, sucursales o Unidad Especializada, la
Administradora Transferente deberá entregar la constancia sobre implicaciones
del Traspaso, ya sea al domicilio o correo electrónico que éste hubiera
proporcionado mediante el E-SAR, en un plazo que no exceda los diez días
hábiles contados a partir de que el Trabajador efectúe la solicitud mediante el
E-SAR. La Administradora determinará si la constancia será enviada al domicilio
o al correo electrónico.
b. ...
c. Si
el Trabajador solicitó su constancia sobre implicaciones del traspaso a través
de la Aplicación Móvil, utilizando los Factores de Autenticación categoría 3 a
los que se refiere el Anexo B de las presentes disposiciones de carácter
general, las Administradoras Transferentes, deberán enviar dicha Constancia en
un plazo comprendido entre los cinco y siete días hábiles contados a partir de
la fecha de la solicitud, al correo electrónico que el Trabajador hubiese
especificado en la Aplicación Móvil, y deberá notificar a la Empresa Operadora
sobre dicho envío, en términos del Manual de Procedimientos Transaccionales.
La constancia sobre implicaciones
del traspaso que se genere a través de la Aplicación Móvil, únicamente podrá
ser utilizada por las Administradoras Receptoras que tengan habilitado el
servicio en la Aplicación Móvil.
Las Administradoras receptoras
deberán asegurarse que el Trabajador tenga activa la Aplicación Móvil al
momento de solicitar a las Empresas Operadoras la Certificación
del Traspaso.
Para
el caso a que se refiere el inciso “b” anterior, cuando la Administradora
Transferente se encuentre imposibilitada para entregar la constancia sobre
implicaciones del Traspaso dentro de los primeros diez días hábiles a
partir del día en que el Trabajador realice la solicitud mediante el E-SAR, por
motivos de disponibilidad de día y horarios, ésta deberá entregar la constancia, ya sea al domicilio o correo electrónico
que el Trabajador hubiera proporcionado, en un plazo que no exceda los diez
días hábiles contados a partir de que el Trabajador
efectúe la solicitud mediante el E-SAR. La Administradora determinará si la
constancia será enviada al domicilio o al correo electrónico.
Para los
casos a que se refiere el inciso “a” de esta fracción o, en caso de que se
presente el supuesto descrito en el párrafo anterior, las Administradoras
Transferentes deberán mantener la evidencia que les permita corroborar que entregaron
la constancia sobre implicaciones del Traspaso en el domicilio o correo
electrónico que proporcionó el Trabajador en el E-SAR y deberán informar a la
Empresa Operadora el resultado de la entrega de dicha constancia de acuerdo a
los lineamientos que para tal efecto se establezcan en el Manual de
Procedimientos Transaccionales.
Para los
casos a que se refiere el inciso “c” de esta fracción, las Administradoras
Transferentes deberán mantener la evidencia que les permita corroborar que
entregaron la constancia sobre implicaciones del Traspaso en el correo
electrónico que proporcionó el Trabajador en la Aplicación Móvil y deberán
informar a la Empresa Operadora el resultado de la entrega de dicha constancia
de acuerdo a los lineamientos que para tal efecto se establezcan en el Manual
de Procedimientos Transaccionales.
...
IV. …
a. al c. …
...
V. ....
…:
a. al e. …
VI. …:
a. al b. …
...
....
...
...
VII. al IX…
…
…
...
…
…
…
...”
“Artículo
182. Las Administradoras
Receptoras, a través su área de operaciones, deberán establecer controles de
verificación orientados a asegurar la identidad y garantizar el ejercicio de la
voluntad de los Trabajadores, siendo la aplicación de dichos controles
responsabilidad exclusiva de las Administradoras Receptoras. Los controles de
verificación que establezcan las Administradoras, deberán considerar, al menos,
la revisión de una muestra estadísticamente representativa con un intervalo de
confianza no menor al noventa por ciento, de las manifestaciones de los Trabajadores,
almacenadas en los videos obtenidos al momento de la tramitación de la
Solicitud de Traspaso, contra la información contenida en la Solicitud de
Traspaso.
...
...
...
...
...
...”
“Artículo
183. …:
I. …:
a. Se
deroga.
b. Las Solicitudes de Traspaso en las que se identifique un mismo riesgo;
II. al IV. …
...”
“Artículo
185. …:
I. …;
II. Se
deroga.
III. Se deroga.
…:
a. …;
b. Se
deroga.
c. Se deroga.
...
...
...”
“Artículo
189. …:
I.al II. …;
II bis. …;
III. al V. …;
VI. Que se hubiere generado el Folio de Solicitud de Traspaso a que se refiere el artículo 139 anterior;
VII. al X. …;
XI. Que el número celular registrado
por el Trabajador en la Solicitud de Traspaso o, en su caso, asociado a la
Aplicación Móvil, no pertenezca al celular de otro Trabajador registrado en la
Base de Datos Nacional del SAR en un periodo de cuatro meses;
XII. al XIV. ...
…
…
…:
a. y b. …
…”
“Artículo 195. ....
…
Asimismo,
los Trabajadores que reciban la Constancia de liquidación de Traspaso o la
notificación del Registro o Traspaso de su Cuenta Individual, sin que hubieran
suscrito una Solicitud de Registro o Traspaso, o bien reciban su estado de
cuenta de alguna Administradora que no han elegido, contarán con un plazo de
ciento ochenta días hábiles contado a partir de la fecha en que reciban
cualquiera de los documentos antes mencionados, para presentar sus
reclamaciones ante la CONDUSEF o por los medios de defensa que consideren
convenientes a sus intereses.
…
…”
“Artículo
210 bis. Para efectos de realizar cualquiera de los servicios
presenciales referidos en el artículo 209 anterior, los Trabajadores podrán
realizarlos a través de un apoderado, tutor o curador, en su caso.
I. Se deroga.
II. Se deroga.
Cuando los Trabajadores realicen trámites a través
de un apoderado, las facultades deberán hacerse constar, a través de un
poder otorgado ante fedatario. Los instrumentos que se otorguen en el
extranjero, deberán presentarse legalizados o apostillados y traducidos, en su
caso, por perito.
Para que el apoderado, tutor o curador, en su caso, pueda gestionar los servicios previstos en el artículo 209 anterior a nombre del Trabajador, las Administradoras deberán verificar que el apoderado, tutor o curador integre el Expediente Electrónico del Trabajador y asiente su Firma Manuscrita Digital, asimismo, deberán verificar que estos no cuenten con un estatus de Agente Promotor Activo en el Sistema de Información de Agentes Promotores a que se refieren las Disposiciones de carácter general a las que deberán sujetarse las administradoras de fondos para el retiro en relación con sus agentes promotores. El Agente Promotor con estatus de activo, únicamente podrá fungir como apoderado, tutor o curador cuando actúe en representación de su cónyuge o de la persona con quien tenga relación de concubinato, así como con aquellos con quienes tenga una relación de parentesco civil o consanguíneo dentro del segundo grado.
…
I. y II....
...
Se deroga.”
“Artículo 210
quáter. Las Administradoras deberán
privilegiar en todo momento la tramitación personalísima de todo trámite
relacionado con la Cuenta Individual de los Trabajadores, y para el caso en que
lleven a cabo la tramitación a que se refiere el artículo 210 bis anterior,
deberán implementar el uso de modelos electrónicos que les permitan autenticar
la identidad del apoderado, tutor, curador o beneficiario, siempre y cuando
este último sea mayor de edad, que se presente a gestionar los servicios
previstos en el artículo 209 anterior, utilizando un factor de autenticación
categoría 3 o superior conforme a lo dispuesto en el Anexo B Factores de
Autenticación de las presentes Disposiciones de carácter general. Para efectos
de lo anterior, las Administradoras deberán de presentar para autorización de
esta Comisión la solicitud de autorización del modelo de autenticación que
implementará, la cual deberá considerar al menos lo siguiente:
i. Descripción detallada del modelo de
autenticación;
ii. Descripción detallada de los factores de
autenticación que utiliza el modelo;
iii. Evidencias que permitan constatar que el
modelo cuenta con un Factor de Autenticación categoría 3 o superior de acuerdo
al Anexo B de las presentes disposiciones;
iv. Análisis de la viabilidad técnica y
operativa del modelo de autenticación;
v. Descripción de los mecanismos para
garantizar la seguridad, integridad y confidencialidad de
la información;
Las políticas
para la generación y conservación de bitácoras auditables y que permitan
verificar, al menos, el lugar, la fecha y hora de la transacción, así como
aquella información que sirva como evidencia para la determinación del
cumplimiento al modelo, dichas bitácoras deberán mantenerse a disposición de la
Comisión en todo momento, para su supervisión.
La Comisión en
término de lo previsto por la Ley, podrá requerir a la Administradora solicitante
cualquier información adicional que considere necesaria para en su caso,
pronunciarse respecto de la autorización del modelo de autenticación.
La Comisión
contará con un plazo máximo de treinta días hábiles, contado a partir de la
recepción de la solicitud de autorización con la documentación completa, para
resolver sobre las solicitudes de autorización de modelos de autenticación que
las Administradoras le presenten.
La autorización
que en su caso se otorgue tendrá una vigencia de 2 años, misma que podrá ser
renovada por periodos iguales a solicitud de la Administradora. Concluida la
vigencia de la autorización deberá mantenerse suspendida la operación del
modelo hasta que la Administradora cuente con la autorización de renovación que
en su caso expida la Comisión.
Las
Administradoras deberán asegurarse que los modelos de autenticación que en su
caso les sean autorizados, funcionen correctamente, siendo responsables por
cualquier mal funcionamiento que pudiera afectar los intereses de los
Trabajadores.
En caso de que el modelo de autenticación deje de cumplir con los
requisitos necesarios para su operación o no garantice la seguridad de las
transacciones o de la información, la Comisión podrá ordenar la suspensión de
las operaciones del modelo de autenticación de que se trate o en su caso
revocar
la autorización.”
“Artículo 214. Las Administradoras, antes de que
inicien la gestión de los servicios, deberán enviar a
las Empresas Operadoras los datos y elementos del Expediente de Identificación
del Trabajador, así como el Enrolamiento Biométrico, la Firma Biométrica y Manuscrita Digital de las personas
que hubieren llevado a cabo las actividades descritas en los artículos 212 y
213 de las presentes disposiciones de carácter general y asegurarse que
sea enrolado en la Base de Datos Nacional SAR, con
excepción de los procesos de Registro y
Traspaso en cuyo caso se deberá enviar previo a la certificación de la
información y elementos contenidos en las Solicitudes de Registro y Traspaso a que refieren los artículos 149, 150 y 189 de
las presentes disposiciones de carácter general.
…
…
…”
“Artículo 217. Las Administradoras podrán llevar a cabo la Recertificación de las Cuentas Individuales de los Trabajadores solamente cuando éstos tengan al menos seis meses de haber suscrito el contrato de administración de fondos para el retiro.
…:
I…
II. Del total de Recertificaciones realizadas durante un año calendario, al menos la quinta parte de éstas deberá realizarse de forma presencial. La Recertificación a través de la Aplicación Móvil podrá sustituir la Recertificación presencial hasta en un cincuenta por ciento del total de la Recertificación presencial y la telefónica en su totalidad.
La
Recertificación a través de la
Aplicación Móvil y la Recertificación presencial de las Cuentas Individuales de los Trabajadores tendrán
una vigencia de treinta y seis meses, contados a partir de la fecha en que dicho
atributo se registre en la Base de Datos Nacional SAR. Cuando la
Recertificación de las Cuentas Individuales se realice vía telefónica la
vigencia de la Recertificación será de dieciocho meses contados a partir de la
fecha en que se registre el atributo en la Base de Datos Nacional SAR.”
“Artículo 219. ...
…:
I. …;
II. …:
a. y b. …
…
…
III. al V. …
VI. Registrar y almacenar un video que contenga la manifestación del Trabajador en la que exprese su consentimiento para la Recertificación, de conformidad con las características establecidas en el Manual de Procedimientos Transaccionales. Las administradoras serán responsables del resguardo y conservación del video, debiendo mantenerlo a disposición de la Comisión e implementar las medidas de seguridad necesarias para garantizar que no sea manipulable.”
...”
“Artículo 229. Las Administradoras deberán recibir, atender, orientar y
resolver las consultas, solicitudes y quejas
de los Trabajadores o sus Beneficiarios, relacionadas con la administración y
operación de sus Cuentas Individuales, a través de los medios que la
Administradora haya puesto a disposición del Trabajador.
Las
Administradoras, conforme a los sistemas que para tal efecto tengan
establecidos, en términos del artículo 6 anterior, deberán llevar un registro y
seguimiento de las consultas, solicitudes y quejas
que les hubieren solicitado los Trabajadores y Beneficiarios, y asignar un
Folio de Queja o Servicio, el cual se
deberá proporcionar al Trabajador al momento de presentar su consulta,
solicitud o quejas. Las Administradoras
deberán utilizar dicho Folio para dar seguimiento e informar a los Trabajadores
o Beneficiarios el estado que guarda el trámite y el resultado del mismo, de
acuerdo con los plazos que se encuentren establecidos en las presentes
disposiciones de carácter general para llevar a cabo los procesos o trámites
solicitados.
…
Asimismo, las Administradoras deberán contar con
mecanismos que permitan, al menos, identificar
el servicio por el cual se presenta la queja
o, en su caso, que se califica, así como el Folio de Queja o
Servicio asignado.”
“Sección VII
De la
Administración de las Cuentas Individuales de los menores de edad”
“Artículo 243 bis. El menor de edad que haya sido registrado en una
Administradora a través de quien ejerza la patria potestad o mediante su tutor,
será representado en todo momento por éstos según corresponda, por lo que en su
representación, podrán llevar a cabo cualquier trámite relacionado con su
Cuenta Individual, incluso podrán elegir la Sociedad de Inversión o Sociedades
de Inversión en la que deseen invertir los recursos, según los prospectos de
inversión de cada Administradora.”
“Artículo 243 ter. Una vez que los menores de edad cuenten con
capacidad de ejercicio o comiencen a cotizar en alguno de los Institutos de
Seguridad Social, obtendrán control total sobre su Cuenta Individual por lo que
ya no será necesaria la intervención de quienes ejercían la patria potestad o
de su tutor para llevar
a cabo cualquiera de los trámites relacionados con la su Cuenta Individual.
Para efectos de lo
anterior las Administradoras deberán actualizar los datos del Trabajador, así
como su Expediente de Identificación en términos de las presentes
disposiciones.”
“Artículo 248. Las Administradoras deberán atender únicamente a través del E-SAR o de la Aplicación Móvil, las pre-solicitudes de transferencia o permanencia de los recursos de su Cuenta Individual de una Sociedad de Inversión a otra.
...
Las Administradoras deberán atender todas las pre-solicitudes para la transferencia o permanencia de los recursos que reciban de las Empresas Operadoras y realizar el contacto vía telefónica para obtener del Trabajador la elección de la Sociedad de Inversión en la que desee invertir los recursos de su Cuenta Individual. Lo anterior, a partir del día hábil siguiente a la fecha en la que la Administradora recibió la información de las pre-solicitudes de transferencia o permanencia y a más tardar el tercer día hábil posterior a la fecha en la que la Administradora recibió de la Empresa Operadora la información de las pre-solicitudes de transferencia o permanencia.
Si el Trabajador durante
la llamada telefónica que reciba de la Administradora manifiesta que desea
transferir sus recursos a una Sociedad de Inversión diferente a la que había
elegido a través del E-SAR o de la Aplicación Móvil, la Administradora deberá
tomar en cuenta dicho cambio para llevar a cabo la transferencia de los
recursos.
…
…”
“Artículo 249. Las Administradoras deberán ejecutar e invertir los recursos de los Trabajadores en las Sociedades de Inversión elegidas por los mismos, de acuerdo con la elección de la Sociedades de Inversión obtenida del contacto que se hubiera tenido con el Trabajador a través del centro de atención telefónica de la Administradora, a más tardar el cuarto día hábil siguiente a la fecha en que la Administradora obtuvo telefónicamente la voluntad del Trabajador.”
“Artículo 250. Las Administradoras, dentro de un plazo no mayor a cinco días hábiles
contado a partir del día siguiente en que concluyó el trámite, deberán informar al
Trabajador de forma clara lo siguiente según sea el caso:
a. Cuando Trabajador haya
elegido permanencia de sus recursos en la misma Sociedad de Inversión en la que
ya se inviertan sus recursos, que sus recursos permanecerán en dicha Sociedades
de Inversión hasta que elija otra.
b. Cuando el Trabajador
haya realizado una elección de Sociedad de Inversión distinta en la que ya se
inviertan sus recursos: que sus recursos fueron transferidos a la o las
Sociedades de Inversión que éste eligió.
c. Cuando se presente un
rechazo: el motivo de rechazo.
Las notificaciones a que
hacen referencia los incisos a, b y c anteriores se realizarán a través de los
medios que para tal efecto determinen y establezcan en los Manuales de
Políticas y Procedimientos de cada Administradora.”
“Artículo
258. A efecto de mantener depurada
y actualizada la Base de Datos Nacional SAR, será responsabilidad de las
Empresas Operadoras y las Administradoras llevar a cabo en coordinación con los
Institutos de Seguridad Social, ya sea mediante la celebración de convenios de
colaboración o cualquier otro mecanismo que se prevea, los procedimientos que
sean necesarios para la unificación y separación de Cuentas Individuales, de
conformidad con los lineamientos y criterios de validación que establezca
la Comisión.
...
...
...
...”
“Artículo
274 bis. Las Empresas Operadoras
deberán prestar a las Administradoras el servicio, a través del cual,
utilizando la Aplicación Móvil, puedan notificar al Trabajador sobre la
recepción del estado de cuenta, las aportaciones, disposiciones y retiros
realizados a la Cuenta Individual del Trabajador, así como el resultado de los
servicios solicitados por el Trabajador a la Administradora, de igual forma,
les permitan hacer llegar mensajes sobre la importancia de efectuar Ahorro
Voluntario, información sobre los requisitos, plazos y otra que se relacione con
los Sistemas de Ahorro para el Retiro. De igual forma el servicio deberá
permitir incorporar aplicaciones interactivas para impulsar el Ahorro
Voluntario. Dichas notificaciones y mensajes deberán adecuarse a los formatos
que para tal efecto les notifique la Comisión.”
“Artículo
274 ter. Las Empresas Operadoras
deberán prestar a las Administradoras el servicio, a través del cual,
utilizando la Aplicación Móvil, puedan enviar invitaciones al Trabajador para
efectuar Ahorro Voluntario, llevar a cabo el Registro de su Cuenta Individual
cuando se trate de Trabajadores No Afiliados. También deberán brindar servicios
de consulta de saldos de la Cuenta Individual, actualización o modificación de
los datos personales del Trabajador y aplicaciones interactivas diseñadas por
las Administradoras.”
“Artículo
274 quáter. Las Empresas
Operadoras deberán adecuar los servicios referidos en los Artículos 274 bis y
274 ter conforme a los lineamientos que deben seguir las Administradoras y las
Empresas Operadoras para el uso y operación de la Aplicación Móvil, establecido
en el Anexo B fracción III de las presentes disposiciones de carácter general.”
“CAPÍTULO VIII
DE LA RECAUDACIÓN
Sección I
Del Sistema de
Recepción de Información y el Ahorro Solidario”
“Artículo
296. Las Empresas Operadoras
deberán desarrollar, modificar actualizar y administrar el Sistema de Recepción de Información de
conformidad con los requerimientos de la Comisión para la correcta operación de
los procesos de recaudación.
Las Empresas Operadoras deberán implementar y
administrar un portal de Internet vinculado al Sistema de
Recepción de Información, a través del cual, los
Trabajadores ISSSTE puedan realizar la elección, cancelación o modificación del
porcentaje del beneficio del Ahorro Solidario.
…:
I. al III. ...
....
…:
a. Recibir a través del Sistema de Recepción de Información, la información de los Trabajadores que han elegido el beneficio del Ahorro Solidario, y
b. …
….”
“Artículo
297. Es responsabilidad de las
Empresas Operadoras garantizar la seguridad, integridad y confidencialidad de
la información que se intercambie a través del Sistema de
Recepción de Información, así como del portal de
Internet a través del cual los Trabajadores elijan, cancelen o modifiquen el
porcentaje del Ahorro Solidario y deberán mantener a disposición de las
Administradoras la información de la Base de Datos Nacional SAR de los
Trabajadores cuya Cuenta Individual operen.
Asimismo, las Empresas Operadoras deberán permitir
el acceso al Sistema de Recepción de Información a través de
Medios Electrónicos.”
“Artículo
298. Las Empresas Operadoras
informarán al FOVISSSTE, a través del Sistema de Recepción
de Información, los datos de las Dependencias y
Entidades o, en su caso, de los Centros de Pago de las Dependencias y Entidades,
obligados a realizar el entero de Aportaciones de Vivienda a favor del
Trabajador ISSSTE que ha obtenido un crédito de vivienda, a efecto de que, ese
fondo de vivienda proporcione la información necesaria para la Amortización de
los créditos correspondientes en términos de las presentes disposiciones de
carácter general.”
“Artículo
299. Las Empresas Operadoras
deberán proporcionar a las Dependencias, Entidades y Aseguradoras, la asesoría
y capacitación correspondiente para la integración y el envío de los archivos
que se deban transmitir a través del Sistema de Recepción
de Información. Lo anterior, sin perjuicio de la
atención que el ISSSTE y/o el FOVISSSTE puedan dar a las solicitudes de
información que reciban de las Dependencias Entidades y Aseguradoras.”
“Artículo
300. …
...
Las Empresas Operadoras deberán establecer los
lineamientos y características técnicas de intercambio de información para que
las Dependencias y Entidades puedan actualizar el Catálogo de Trabajadores
ISSSTE a través del Sistema de Recepción de Información.
Las Empresas Operadoras comunicarán a través del Sistema de Recepción de Información a las
Dependencias y Entidades, a más tardar el día hábil siguiente en que reciban la
actualización del catálogo a que se refiere el párrafo anterior, el resultado
de la validación de estructura e información del archivo, incluyendo en su caso
las inconsistencias identificadas. En caso de que el archivo es validado
exitosamente, la Empresa Operadora deberá emitir una constancia de la actualización
del Catálogo de Trabajadores ISSSTE en la Base de Datos Nacional SAR.”
“Artículo
301. Es responsabilidad de las
Aseguradoras, Dependencias y Entidades efectuar el cálculo bimestral del monto
global e individualizado de los recursos correspondientes a las Cuotas y
Aportaciones, Ahorro Solidario, así como de los pagos extemporáneos a los que
hace referencia el artículo 22 de la Ley del ISSSTE y los intereses que, en su
caso, les corresponda realizar, en términos de lo dispuesto en la Ley
del ISSSTE. Asimismo, las Dependencias y Entidades podrán realizar aportaciones
de Ahorro Voluntario a través del Sistema de Recepción de
Información.
Para tal efecto, las Aseguradoras, Dependencias y
Entidades, deberán integrar la información correspondiente a través del Sistema de Recepción de Información, de
conformidad con los lineamientos y formatos que dé a conocer la Comisión.
...”
“Artículo
302. Las Empresas Operadoras, a
través del Sistema de Recepción de Información, emitirán las Líneas de Captura que correspondan al entero
de Cuotas y Aportaciones, Ahorro Solidario, Ahorro Voluntario, aportaciones
para las amortizaciones de vivienda, pagos extemporáneos y los intereses que,
en su caso, corresponda realizar a las Dependencias, Entidades y Aseguradoras,
siendo éstas últimas responsables de cerciorarse de que las Líneas de Captura
contengan los montos correctos que deban pagar.
La falta de recepción de las Líneas de Captura o el
error en las mismas, no exime a las Aseguradoras, Dependencias y Entidades de
cumplir con las obligaciones de determinar y enterar los recursos a que se
refiere la presente sección, ni las libera de las consecuencias jurídicas
derivadas del incumplimiento de dichas obligaciones; en cuyo caso, las
Aseguradoras, Dependencias y Entidades deberán utilizar las opciones que
contenga el Sistema de Recepción de Información para
actualizar la información registrada y solicitar nuevamente la Línea de
Captura.”
“Artículo
309. …
Las Empresas Operadoras deberán recibir del ISSSTE
la solicitud e información a que se refiere el presente artículo a través del Sistema de Recepción de Información, a más
tardar siete días hábiles antes de la fecha límite para el pago de recursos
establecida en el artículo 21 tercer párrafo de la Ley del ISSSTE.
...”
“Artículo 329. Las Administradoras deberán adquirir el mismo día que reciban los
recursos correspondientes a las Cuotas y Aportaciones, las Acciones de la
Sociedad de Inversión que corresponda al Trabajador al precio registrado en esa
fecha en una bolsa de valores autorizada para organizarse y operar en términos
de la Ley del Mercado de Valores.”
“Artículo 337 bis. Las
Administradoras podrán presentar ante la Comisión para su autorización, los
modelos, proyectos o iniciativas que, a través de la innovación y el uso de tecnología,
estimulen el Ahorro Voluntario, el registro de Cuentas Individuales, la
ampliación de la cobertura de servicios, o cualquier otro mecanismo que
facilite el ejercicio de los derechos de los Trabajadores relacionados con su
Cuenta Individual, así como el acceso a los servicios que les deban prestar las
Administradoras, en las cuales podrán contar con la participación de empresas,
Empresas de Apoyo, Organizaciones No Gubernamentales (ONGs), entidades
gubernamentales, organismos internacionales o personas físicas con actividad
empresarial.
Para
efectos de lo anterior las Administradoras deberán enviar a la Comisión su
solicitud de autorización, que contenga la descripción del modelo, proyecto o
iniciativa que deberá considerar al menos, el objetivo del mismo, y los
resultados esperados, un análisis de seguridad de la información y de los datos
personales, así como la factibilidad operativa y técnica y, en su caso, el
factor de autenticación que se pretenda utilizar, acreditando que se cumplen
con los requisitos establecidos en el Anexo B de las presentes disposiciones de
carácter general.
Las
Administradoras que implementen los modelos a que se refiere esté artículo,
deberán celebrar con los terceros referidos en el primer párrafo de este
artículo, los convenios de confidencialidad necesarios para que la información
de los Trabajadores se utilice únicamente para la gestión del trámite que éstos
soliciten. Las Administradoras serán responsables en todo momento del
cumplimiento de la normatividad en materia de protección de datos personales
que resulte aplicable.
La
Comisión, previo análisis de la viabilidad operativa, técnica y de la seguridad
de la información y de datos personales, podrá autorizar los modelos, proyectos
o iniciativas,
en un plazo máximo de quince días hábiles, contado a partir de la recepción de
la solicitud de autorización con la documentación completa.
La Comisión en término de
lo previsto por la Ley, podrá requerir a la Administradora solicitante
cualquier información adicional que considere necesaria para en su caso,
pronunciarse respecto de la autorización del modelo, proyecto o iniciativa
notificando en su caso la autorización de los mismos a las Empresas Operadoras
a fin de que en un plazo máximo de diez días hábiles, dichas Empresas Operadoras
se coordinen con el solicitante para establecer los convenios y/o contratos que
se requieran para su formalización; la autorización tendrá una vigencia de un
año, misma
que podrá ser renovada por periodos iguales, siempre que la solicitud de renovación
sea presentada por el interesado a más tardar treinta días hábiles previos a la
fecha del vencimiento.
Una vez
firmados los convenios o contratos a que hace referencia el presente artículo y
previa autorización de los modelos, proyectos o iniciativas por la Comisión, las Empresas
Operadoras deberán de definir los mecanismos que permitan realizar el
intercambio de información, en un plazo máximo de quince días hábiles contado a
partir del día hábil siguiente a la entrada en vigencia del contrato o convenio
respectivo. Dichos mecanismos deberán establecerse en el Manual de
Procedimientos Transaccionales.
En el caso
de que las Administradoras o Empresas Operadoras decidan contratar los
servicios de Empresas Auxiliares o Empresas de Apoyo para la operación de
modelos, proyectos o iniciativas conforme a lo previsto en el presente
artículo, deberán de asegurarse que la Empresa Auxiliar o la Empresa de Apoyo
cuente con:
a. Capacitación
del personal que participará en el proyecto, modelos o Iniciativa, de modo que,
en su caso, brinde la información correcta a los Trabajadores;
b. Convenios
de confidencialidad que aseguren que la información de los Trabajadores
obtenida en el desarrollo del proyecto, modelo o iniciativa se utilice
únicamente para la gestión
del trámite;
c. Mecanismos
de seguridad que protejan la información de los Trabajadores.
En caso de que los
modelos, proyectos o iniciativas, dejen de cumplir con los requisitos
necesarios para su operación o no garanticen la seguridad de las transacciones
o de la información del Trabajador, la Comisión podrá ordenar la suspensión de
las operaciones de dichos modelos o revocar la autorización de
los mismos.”
“Artículo 337 ter. Las
Empresas Operadoras deberán de implementar en el Portal E-SAR el servicio de
generación de referencias de pago para el depósito de aportaciones de Ahorro
Voluntario, de acuerdo con las siguientes características:
I. El
servicio deberá estar disponible al público en general;
II. El
servicio deberá permitir la recepción de los datos requeridos para la
generación de las referencias de pago, mediante:
a. Captura
manual por CURP.
b. Importación
de la información a través de un archivo de datos de acuerdo a las
características que se establezcan en el Manual de Procedimientos
Transaccionales.
III. El
servicio deberá validar la información recibida y en su caso generar la
referencia de pago que abarque el o los depósitos que fueron solicitados por el
usuario;
IV. Las
Empresas Operadoras deberán de almacenar el detalle de las referencias de pago,
para estar en posibilidad de realizar la conciliación y dispersión de las
aportaciones en el momento que sean recibidas, y
V. Las
Empresas Operadoras deberán establecer en el Manual de Procedimientos
Transaccionales los mecanismos que sean necesarios para el control, recepción,
conciliación y dispersión de las aportaciones recibidas a través de referencias
de pago.
Además de los servicios señalados en
las fracciones anteriores, podrán incluirse otros servicios según lo requiera
cada Administradora, debiendo apegarse a lo que establece el artículo 337 bis
anterior.”
“Artículo 346. Las Administradoras o Empresas Auxiliares que
reciban aportaciones de Ahorro Voluntario, a través de cualquiera de los medios
previstos en el artículo 337 anterior, deberán emitir un acuse de recibo de
acuerdo con las características, lineamientos y criterios técnicos que se
acuerden con las Empresas Operadoras, así como, en su caso, los que establezca
la Comisión para tal efecto. Los acuses de recibo deberán contener al menos, el
nombre y CURP del Trabajador, así como el monto y tipo de aportación de Ahorro
Voluntario que se realiza, este
último requisito podrá excluirse para el caso de las Aportaciones Voluntarias
que se reciban en el extranjero a través de Empresas Auxiliares que para tal
efecto sean contratadas por las Administradoras o las Empresas Operadoras por
mandato de éstas.
...”
“Artículo 387 bis. …:
a) al c). …;
d) :
i. …;
ii. …;
iii. ….
e) ...;
…
En cualquier caso, el Trabajador podrá acudir a cualquier oficina, sucursal o Unidad Especializada de la Administradora de que se trate, a solicitar la disposición de recursos por ayuda para gastos de matrimonio, Retiro Parcial por Desempleo y los de disposición de recursos a que se refiere el artículo 406 de las presentes disposiciones de carácter general, para lo cual las Administradoras deberán apoyar al Trabajador o sus Beneficiarios para realizar la pre-solicitud, conforme a los lineamientos que para tal efecto establezca la Empresa Operadora en el Manual de Procedimientos Transaccionales.”
“Artículo 406 ter. …:
a) al e). …;
…
…
I. …;
II. Contactar a los
Trabajadores con base en los documentos de identificación que tenga en sus
registros o en el Expediente de Identificación, cuando
el monto del depósito sea superior a las 10 unidades de medida y
actualización, con la finalidad de informarles sobre el depósito a que se
refiere el presente artículo, debiendo sujetarse a lo siguiente:
i. al iv. ….
...
…
…
…”
“Artículo
419. Para el caso de retiros
parciales, el Trabajador que acuda a una Administradora deberá presentar la pre-solicitud de disposición de recursos por
ayuda para gastos de matrimonio o Retiro Parcial por Desempleo que haya
realizado a través del E-SAR acompañada por la
documentación que, en su caso, establezcan las Administradoras y los Institutos de Seguridad Social, en la forma y términos
que para tal efecto establezcan dichos Institutos.
...
...”
“Artículo
424. …:
I. Que el Trabajador haya realizado la pre-solicitud de Retiro Parcial por Desempleo a que se refieren las fracciones VIII y IX del artículo 9 de las presentes disposiciones de carácter general.
Se
deroga.
II. al V. …
VI. …
a. …
b. …
VII. …”
“Artículo 437. Para tramitar una solicitud de disposición de Ahorro Voluntario, las Administradoras deberán cumplir, previamente, con los siguientes requisitos:
I. Que el Trabajador cuente con Expediente de Identificación o Expediente Móvil y que corresponda al mismo;
II. Asegurarse que el Trabajador manifieste en la solicitud de disposición de Ahorro Voluntario que conoce su contenido y que es su voluntad realizar el trámite para lo cual deberá sentar su nombre completo, Firma Biométrica y Firma Manuscrita Digital;
III. Realizar una revisión de la solicitud de disposición
de Ahorro Voluntario, a efecto de verificar el consentimiento, la voluntad y la
identificación del Trabajador que realiza el trámite, y
IV. En caso de que el retiro se realice a través de la Aplicación Móvil, u otros mecanismos no presenciales, las Administradoras podrán sustituir con ésta, el requisito a que se refiere la fracción II anterior, siempre que medie consentimiento expreso del Trabajador y el depósito a favor del Trabajador se haga en las cuentas bancarias de la titularidad de éste y que se hayan designado para tal efecto.
Los mecanismos no
presenciales que en su caso implementen las Administradoras para efectuar el
retiro de recursos de la Cuenta Individual, deberán ser autorizados previamente
por la Comisión de conformidad con lo siguiente:
Las Administradoras
deberán presentar la solicitud para operar un procedimiento no presencial para
el retiro de Aportaciones Voluntarias, la cual deberá considerar al menos lo
siguiente:
i. Descripción
detallada del procedimiento no presencial;
ii. Descripción
detallada de los factores de autenticación que utiliza el procedimiento no
presencial;
iii. Evidencias
que permitan constatar que el procedimiento no presencial cuenta con un Factor
de Autenticación categoría 3 o superior de acuerdo al Anexo B de las presentes
disposiciones;
iv. Análisis de
viabilidad técnica y operativa del procedimiento no presencial;
v. Descripción
de los mecanismos para garantizar la seguridad, integridad y confidencialidad
de la información;
Las políticas para la
generación y conservación de bitácoras auditables y que permitan verificar, al
menos, el lugar, la fecha y hora de la transacción, así como aquella
información que sirva como evidencia para la determinación del cumplimiento al
procedimiento no presencial, dichas bitácoras deberán mantenerse
a disposición de la Comisión en todo momento, para su supervisión.
La Comisión en término de
lo previsto por la Ley, podrá requerir a la Administradora solicitante
cualquier información adicional que considere necesaria para en su caso,
pronunciarse respecto de la autorización del mecanismo no presencial para
efectuar el retiro de recursos de la Cuenta Individual.
La Comisión contará con un
plazo máximo de treinta días hábiles, contado a partir de la recepción de la
solicitud de autorización con la documentación completa, para resolver sobre
las solicitudes de autorización de mecanismos no presenciales que las
Administradoras le presente.
Las Administradoras
deberán asegurarse que los mecanismos no presenciales que en su caso les sean
autorizados, funcionen correctamente, siendo responsables frente al Trabajador
por cualquier mal funcionamiento que pudiera afectar los intereses de éstos.
En caso de que el
mecanismo no presencial deje de cumplir con los requisitos necesarios para su
operación o no garantice la seguridad de las transacciones o de la información
de los Trabajadores, la Comisión podrá ordenar la suspensión de las operaciones
del mecanismo no presencial de que se trate o en su caso revocar la
autorización.
Las Administradoras que
implementen la disposición de recursos a que se refiere el presente artículo,
previo a que pongan a disposición del Trabajador los recursos solicitados,
deberán asegurarse que cumplen con las Disposiciones de carácter general a que
se refiere el artículo 108 Bis de la Ley de los Sistemas de Ahorro para el
Retiro que al efecto emita la Secretaría, en particular, con las obligaciones
relativas a la identificación del cliente.
“ANEXO B”
FACTORES DE AUTENTICACIÓN
…:
I. Factor de autenticación categoría 1: …
…:
a. …,
b. ...
II. Factor de autenticación categoría 2: …:
a. …:
i. …;
ii. …;
iii. …,
iv. …;
b. ...,
c. ...
...
…;
III. Factor de autenticación categoría 3: Se compone de información contenida o generada por Medios Electrónicos, así como de información obtenida a través de la Aplicación Móvil que implementen las Empresas Operadoras o las Administradoras, previa autorización de la Comisión, así como mediante dispositivos generadores de contraseñas dinámicas de un solo uso. Dichos medios o dispositivos deberán ser proporcionados por las Administradoras o Empresas Operadoras a los Trabajadores y la información contenida o generada por ellos, deberá cumplir con las características siguientes:
a. Contar con propiedades que impidan su duplicación o alteración;
b. Ser información dinámica que no podrá ser utilizada en más de una ocasión;
c. No ser conocida con anterioridad a su generación y a su uso por los Agentes Promotores, así como cualquier empleado directo o indirecto de la Administradora, Empresas Operadoras o por terceros;
La Comisión establecerá los lineamientos que deberán seguir las Administradoras y las Empresas Operadoras para el uso y aplicación del presente Factor de autenticación.
Las
Empresas Operadoras o Administradoras deberán proporcionar a los Trabajadores
la aplicación informática móvil que genere contraseñas emitidas por las
Empresas Operadoras. Dichas contraseñas requieren asociarse a un teléfono
celular y cualquier otra información relacionada con el tipo de operación o
servicio de que se trate, de manera que dicha contraseña únicamente pueda ser
utilizada para la operación solicitada
La Comisión podrá establecer lineamientos adicionales que deberán seguir las Administradoras y las Empresas Operadoras para el uso y aplicación del presente Factor de autenticación.
Las Empresas Operadoras
deberán habilitar la opción para generar contraseñas para autorizar y firmar
servicios independientes de la Aplicación Móvil, cuando las Administradoras
así lo requieran.
En todo caso, las Empresas Operadoras y las Administradoras deberán obtener la autorización de la Comisión para operar los medios a los que se refiere la presente fracción, en cuya solicitud deberán exponer los controles que les permitirán a los Trabajadores realizar operaciones de forma segura. La Comisión contará con un plazo de 40 días hábiles para resolver sobre las solicitudes de autorización a que se refiere este apartado.
Las Administradoras podrán implementar modelos para ofrecer servicios a través de la utilización de los factores de autenticación desarrollados por las Empresas Operadoras o por las Administradoras a que se refiere la presente fracción, para lo cual podrán solicitar a la Comisión su autorización.
La autorización que en su caso emita la Comisión, tendrá una vigencia de dos años, la cual podrá ser renovada por periodos iguales, siempre que la solicitud de renovación sea presentada por la Administradora interesada en un plazo no menor a treinta días hábiles previos a la fecha del vencimiento.
La
solicitud de autorización de los servicios deberá contener al menos lo
siguiente:
I. Objeto;
II. Servicios que se implementarán utilizando
el modelo;
III. Descripción detallada del modelo y
servicio;
IV. Fecha de inicio de operaciones;
V. Análisis de viabilidad técnica y operativa
para la operación que pretende efectuar;
VI. Descripción de los mecanismos que
garanticen la seguridad, integridad y confidencialidad de la información que se
intercambie a través de los mismos;
VII. Generación y disponibilidad de bitácoras que
sean auditables y que permitan verificar, al menos, el lugar, la fecha y hora
exacta de la transacción, así como aquella información que sirva como evidencia
para la determinación del cumplimiento al modelo; dichas bitácoras deberán
estar disponibles para supervisión de la Comisión, y
VIII. Cualquier otro elemento que la Administradora
considere que sea necesario para facilitar el análisis de la solicitud por
parte de la Comisión.
La Comisión en términos de lo
previsto por la Ley, podrá requerir a la Administradora solicitante cualquier
información adicional que considere necesaria para en su caso, pronunciarse
respecto de la autorización del modelo.
El desarrollo de los modelos de servicio a que
se refieren los párrafos que anteceden, podrá ser realizada por las
Administradoras a través de terceros que hayan sido evaluados por las propias
Administradoras, considerando un análisis de riesgos y vulnerabilidades, y que
de acuerdo a dicha evaluación, la Administradora determine que el modelo cumple
con las características señaladas en el Anexo B, Factores de Autenticación.
Las Empresas Operadoras deberán aceptar las
solicitudes de implementación de los modelos de servicio autorizados por la
Comisión para configurar las interfases y, conjuntamente con la Administradora,
habilitar un canal seguro para su interacción, permitiendo el uso de los
factores de autenticación de las Aplicaciones Móviles. Para efectos de lo
anterior las Administradoras de que se trate y las Empresas Operadoras deberán
celebrar los actos jurídicos que sustenten la operación de este servicio adicional.
En caso de que los modelos de servicio autorizados a que se refiere el presente artículo dejen de cumplir con los requisitos necesarios para su operación o no garanticen la seguridad de las transacciones o de la información, la Comisión podrá ordenar la suspensión de las operaciones de dichos modelos o revocar la autorización de los mismos.
IV. …;
V. Factor de autenticación categoría 5: Se compone de la Firma Biométrica y Firma Manuscrita Digitalizada del Trabajador o Beneficiario, en su caso los cuales deberán de contemplar los siguientes elementos:
a) Que la Firma Biométrica y/o Firma
Manuscrita Digitalizada sea recabada en tiempo real.
b) La Firma Biométrica podrá recabarse a
través de elementos biométricos, basados en estándares internacionales, de
acuerdo a las siguientes características:
i. El elemento biométrico deberá verificar
vida;
ii. Podrá componerse de diversos factores
biométricos para mejorar el nivel de confianza de la validación, y
iii. Podrán utilizar componentes de
geo-localización para identificar el lugar en que se realiza la Firma
Biométrica.
Las Administradoras deberán utilizar los factores
de autenticación para otorgar a los Trabajadores los servicios relacionados con
la administración de su Cuenta Individual, de conformidad con lo previsto en
las presentes disposiciones de carácter general.”
“ANEXO M”
CARACTERÍSTICAS QUE DEBEN OBSERVAR
LAS EMPRESAS OPERADORAS PARA BRINDAR LOS SERVICIOS RELACIONADOS CON LAS
CONSTANCIAS DE IMPLICACIONES DE TRASPASO
Las Empresas Operadoras deberán establecer los
mecanismos para que los centros de atención telefónica cuenten con lo
siguiente:
I. La identificación del Trabajador conforme a los procedimientos internos de las Empresas Operadoras;
II. Registro del número de teléfono del cual se realizó la llamada;
III. El servicio de constancias de implicaciones de Traspaso deberá ser la primera opción en el menú de los servicios que se ofrezcan a los Trabajadores;
IV. Los operadores de los centros de atención telefónica deberán
a. Estar capacitados conforme a los
procedimientos internos de las Empresas Operadoras, y
b. Brindar el servicio conforme el guion que
para tal efecto determine la Comisión.
Los operadores de los centros
de atención telefónica no deberán ser Agentes Promotores;
V. Conservar en Medios Electrónicos las grabaciones de todas las llamadas telefónicas recibidas a que se refiere la presente fracción por un periodo de diez años a partir de la fecha en que se realizó la misma, y
VI. Contar con estándares de calidad y niveles de servicio que le permitan operar en un horario no menor de lunes a sábado de nueve a veinte horas del horario del centro del país. Las Empresas Operadoras podrán suspender temporalmente el servicio cuando requieran dar mantenimiento a sus sistemas y plataformas tecnológicas, previo aviso a la Comisión.”
SEGUNDO.- Se MODIFICA el artículo Primero
Transitorio, fracción III, apartado C y D y fracción IV de las MODIFICACIONES Y
ADICIONES A LAS DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE OPERACIONES DE
LOS SISTEMAS DE AHORRO PARA EL RETIRO, publicadas en el Diario Oficial de la
Federación el 4 de julio de 2017;
“PRIMERO.- Las
presentes modificaciones y adiciones entrarán en vigor al día hábil siguiente
de su publicación en el Diario Oficial de la Federación con excepción de lo
siguiente:
I. al II. …;
III.
El artículo 180 de las
presentes modificaciones y adiciones comenzará su vigencia según
lo siguiente:
A.
El párrafo primero, segundo, tercero,
cuarto, quinto, sexto, séptimo y octavo, entrarán en vigor a los 60 días hábiles
siguientes al de la publicación en el Diario Oficial de la Federación de las
presentes modificaciones y adiciones;
B. Las fracciones I, con excepción de los
incisos a, c y e, II, III y IV entrarán en vigor a los 60 días hábiles
siguientes al de la publicación en el Diario Oficial de la Federación de las
presentes modificaciones y adiciones;
C.
Las fracciones I, inciso e, V y VI,
entrarán en vigor el 19 de enero de 2018, y
D. Las fracciones I, inciso a, VII, VIII, y
IX entrarán en vigor el 3 de septiembre de 2018.
...
IV.
El artículo 387 bis, en
materia de retiros parciales y totales de recursos de la Cuenta Individual,
contenidas en las presentes modificaciones y adiciones, con excepción de
aquellas a que se refiere la fracción V siguiente, entrarán en vigor el 30 de
noviembre de 2018. El artículo 387 bis, en materia de retiros totales de
recursos de la Cuenta Individual, contenidas en las presentes modificaciones y
adiciones, con excepción de aquellas a que se refiere la fracción V siguiente,
entrarán en vigor el 30 de abril de 2019.
V.-
...”
TRANSITORIOS
PRIMERO.- Las
presentes modificaciones y adiciones entrarán en vigor al día hábil siguiente
de su publicación en el Diario Oficial de la Federación con excepción de lo
siguiente:
I. El artículo 180, fracción III,
inciso c, comenzará su vigencia a los 120 días hábiles siguientes al de la
publicación en el Diario Oficial de la Federación de las presentes
modificaciones
y adiciones;
II. El artículo 337 ter, comenzará
su vigencia a los 260 días hábiles siguientes al de la publicación en el Diario
Oficial de la Federación de las presentes modificaciones y adiciones;
III. Los artículos 9, fracciones III y
VI, 136, 137, 138, 139, último párrafo y sus fracciones I, II y III, 148,
fracción II, inciso a, último párrafo, 158 fracciones II y III, inciso b y c,
160 fracción IV, 168, fracción II, inciso a, finalizarán su vigencia y quedarán
derogados a los 60 días hábiles siguientes al de la publicación en el Diario
Oficial de la Federación de las presentes modificaciones y adiciones;
IV. Las modificaciones a los
artículos 139 párrafos primero, segundo y tercero, 148, fracción III, 150, 168,
fracción III, 172, 173, fracción III, 176 y 189, fracciones VI y XI, comenzarán
su vigencia a los 60 días hábiles siguientes al de la publicación en el Diario
Oficial de la Federación de las presentes modificaciones y adiciones;
V. Las
modificaciones y adiciones a los artículos 148 fracción V, 149 bis, último
párrafo, 155, 156, 168 fracción VIII, 182 y 219 fracción VI, comenzarán su
vigencia a los 40 días hábiles siguientes al de la publicación en el Diario
Oficial de la Federación de las presentes modificaciones
y adiciones;
VI. Los artículos 243 bis y 243 ter,
comenzarán su vigencia a los 150 días hábiles siguientes al de la publicación
en el Diario Oficial de la Federación de las presentes modificaciones y
adiciones;
VII. Las modificaciones al artículo
217, comenzarán su vigencia a los 20 días hábiles siguientes al de la
publicación en el Diario Oficial de la Federación de las presentes
modificaciones
y adiciones;
VIII. Las modificaciones al artículo 14
comenzarán su vigencia a los 90 días hábiles siguientes al de la publicación en
el Diario Oficial de la Federación de las presentes modificaciones y adiciones;
IX. Las modificaciones y adiciones a
los artículos 90, fracciones IV, V y VI, 90 bis, y 92 fracción II inciso b,
inciso c, inciso d, numeral i, e inciso f numeral IV, comenzarán su vigencia a
los 260 días hábiles siguientes al de la publicación en el Diario Oficial de la
Federación de las presentes modificaciones y adiciones, y
X. El artículo 210 quáter,
comenzará su vigencia a los 110 días hábiles siguientes al de la publicación en
el Diario Oficial de la Federación de las presentes modificaciones y adiciones.
SEGUNDO.- Con
la entrada en vigor de las presentes modificaciones, se abrogan todas aquellas
disposiciones que contravengan a las presentes.
Ciudad de México, a 9 de noviembre de
2018.- El Presidente de la Comisión Nacional del Sistema de Ahorro para el
Retiro, Carlos Ramírez Fuentes.- Rúbrica.