Se emiten las Disposiciones relativas a las INTERFACES DE PROGRAMACIÓN DE APLICACIONES INFORMÁTICAS (API’s) de la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech).
¿QUÉ SON?
Interfaz de programación de aplicaciones informáticas estandarizadas: (“APIs” Application Programming Interface en inglés) es un código que permite que dos programas de software se comuniquen entre sí.[1] En este caso, es la manera en que entidades financieras comuniquen ciertos datos entre sí, a efecto de fomentar la competencia en los mercados, protección al consumidor, la neutralidad tecnológica, así como la inclusión, innovación y preservación financiera, con la finalidad de un sano desarrollo del sistema financiero.
ANTECEDENTES (Ley Fintech)
Estas disposiciones parten de la obligación contenida en el artículo 76 de la Ley Fintech sobre que las entidades aquí descritas deben intercambiar datos a través del uso de interfaces de programación de aplicaciones estandarizadas (API’s). Estas entidades son:
- Instituciones de Tecnología Financiera
- Sociedades autorizadas por la CNBV para operar con Modelos Novedosos
- Entidades Financieras
- Transmisores de dinero
- Sociedades de información crediticia
- Cámaras de compensación a que se refiere la Ley para la Transparencia y Ordenamiento de los Servicios Financieros
¿QUÉ HACEN? (Ley Fintech)
Concretamente, las API’s tienen la finalidad de compartir esta información:
1. Datos financieros abiertos: productos financieros que ofrece la entidad financiera al público en general, la ubicación de sus oficinas y sucursales, cajeros automáticos u otros puntos de acceso a sus productos y servicios.
2. Datos agregados: los relativos a cualquier tipo de información estadística relacionada con las operaciones realizadas por la entidad financiera, sin contener datos personales de los clientes.
3. Datos transaccionales: aquellos relacionados con el uso de un producto o servicio, incluyendo cuentas de depósito, créditos y medios de disposición contratados a nombre de los clientes de las entidades financiera, siempre y cuando cuenta con el consentimiento expreso del cliente.
DISPOSICIONES RELATIVAS A LAS API’s (Ley Fintech)
Una vez establecido lo anterior, la Comisión Nacional Bancaria y de Valores, junto con la Secretaría de Hacienda y Crédito Público emitió estas disposiciones que facilitan el cumplimiento de obtener la autorización para acceder a los datos financieros abiertos:
Definiciones:
Proveedores de Datos: (Emite datos) Entidades Financieras, ITF, sociedades autorizadas por la CNBV para operar con Modelos Novedosos y transmisores de dinero, que conforme al primer párrafo del artículo 76 de la Ley estén obligados a establecer API’s con el fin de compartir Datos.
Solicitantes de Datos: (Recibe datos) Entidades Financieras, ITF, sociedades autorizadas para operar con Modelos Novedosos, transmisores de dinero y terceros especializados en tecnologías de información.
Usuarios: las personas que utilicen los productos o servicios que ofrezcan los Solicitantes de Datos
De los Solicitantes de Datos:
Son las entidades recibidoras de datos financieros, agregados o transaccionales.
Obtención de Autorización por la CNBV: Para obtenerla y acceder a los datos de los Proveedores de Datos, los Solicitantes de Datos únicamente deberán cumplir con lo establecido en los Anexos 1, 2 y 3 de las presentes disposiciones (estarán descritos al final del texto).
De los Proveedores de Datos:
Son entidades financieras que emiten los datos previamente establecidos. Esto lo hacen mediante su sistema y con la información recabada de las actividades de su plataforma.
Obtención de Autorización por la CNBV: Su mayor obligación es cumplir con los Anexos 1, 2 y 3.
Obligaciones:
I. Publicación en su página web del proceso que deberán seguir los Solicitantes de Datos para acceder a los Datos a través de APIs y las contraprestaciones.
II. Los términos y condiciones con los Solicitantes de Datos para llevar a cambio el intercambio. Se deberá establecer mecanismos y controles que aseguren la confidencialidad e integridad de los Datos.
III. Contar con una política de seguridad de la información que proteja en todo momento la Infraestructura, propia o de terceros contratados por estos, así como la confidencialidad e integridad de los Datos.
IV. Los Datos compartidos estén disponibles únicamente como lectura, sin la posibilidad de alterar los datos.
V. Que la API se encuentre segregada de aquella Infraestructura que soporte cualquier operación propia de la ITF.
VI. Registro de accesos, intento de accesos y la actividad efectuada en el sistema.
VII. Reportar de manera inmediata cualquier incidente de Seguridad de la Información ante la CNBV.
VIII. Si se interrumpe el acceso por el incumplimiento de obligaciones de los Solicitantes de Datos, se le deberá notificar a la CNBV, justificando la interrupción.
IX. Presentar a la CNBV, para su autorización, las contraprestaciones que pretendan cobrar a los Solicitantes de Datos por el intercambio de Datos.
Programas de regularización:
Programa de regularización e incumplimiento de disposiciones: En caso de incumplimiento de estas disposiciones, previo derecho de audiencia, la CNBV y el Banco de México podrán ordenar la suspensión parcial o total, temporal o definitiva, del intercambio de información y datos.
Para ejercer ese derecho de audiencia que funciona como una defensa inicial ante la suspensión, las entidades financieras deberán presentar un programa de regularización para que sea aprobado por la CNBV, el cual deberá contener:
I. Las acciones necesarias para cumplir con las obligaciones de estas disposiciones.
II. Especificación de las etapas y plazos de cada una de las acciones a implementar, así como las personas responsables encargadas de cada acción.
III. Las medidas tendientes a prevenir nuevos incumplimientos.
Una vez presentado el programa, la CNBV tiene 20 días hábiles para resolver. Si se debe prevenir al interesado por alguna falta a resolver o para solicitar más información, la CNBV tendrá 10 días hábiles, dentro de plazo inicial. En caso de requerimiento del interesado, el plazo para resolver se extiende 5 días hábiles.
El interesado tiene 5 días hábiles para atender el requerimiento una vez recibida la prevención. Si no se presenta, la autoridad debe resolver con lo que tiene.
***La ejecución y cumplimiento del programa de regularización no deberá exceder de 3 meses contados a partir de su autorización. ***
Anexo 1: Lineamientos de Seguridad para datos abiertos que deberán observar Proveedores de Datos y Solicitantes de Datos
I. Seguridad e las sesiones:
- El Proveedor de Datos debe utilizar el protocolo HTTPS con el objetivo de garantizar el cifrado de la información durante el intercambio de la misma”, con el apoyo de una entidad que funcione como Autoridad Certificadora, misma que cuenta con la infraestructura tecnológica para la emisión, administración y registro de certificados digitales
- Limitar el tipo de contenido que se podrá intercambiar a través de las APIs,
II. Seguridad de acceso:
- “El Proveedor de Datos podrá identificar al Solicitante de Datos manteniendo la vigencia del Token de Acceso por un máximo de 30 días para la consulta de datos”. Este Token de Acceso es un identificador alfanumérico único que permite el acceso del Solicitante de Datos a la API proporcionada por el Proveedor de datos para el consumo de los datos.
- Asimismo, deberá generar y almacenar durante 1 año las bitácoras de acceso para tener trazabilidad de los eventos del sistema, las cuales deben de contener como mínimo lo siguiente: Usuario, IP origen, IP destino, fecha, hora, nombre de la API, tipo de petición, versión, código de respuesta, respuesta.
III. Seguridad de desarrollo e infraestructura:
- El Proveedor de Datos implementará mecanismos para mitigar ataques o intrusiones en su plataforma, desarrollando un plan de actualización en los siguientes temas:
a. Identificación de vulnerabilidades.
b. Identificación de alguna brecha de seguridad.
c. Plan de actualización en caso de que la Infraestructura Tecnológica se vuelva obsoleta.
Anexo 2: Lineamientos de la Arquitectura de Datos para el Intercambio de Información de Datos Abiertos
I. Los Proveedores de Datos deberán desarrollar puntos de consulta (mensaje de datos) de API (API endpoints) estandarizados para que puedan ser accesados por los Solicitantes de Datos con el objetivo de desarrollar soluciones para el usuario final.
II. El Proveedor de Datos podrá limitar el número de solicitudes a la API para mejorar el desempeño utilizando el algoritmo de bucket de tokens (se crea un paquete de solicitantes y crea un punto de acceso por cada paquete, así se transfiere los datos a varios Solicitantes sin tener varios puntos de acceso).
Anexo 3: Diccionario de Datos Abiertos de Cajeros Automáticos
I. Establece aclaraciones sobre el uso del diccionario de datos. Este diccionario es la lista de los elementos que forman parte del flujo, almacenamiento y procesos de datos en todo el sistema.
II. Determina la vista técnica, jerárquica del Listado de Códigos, de Objetivos y Atributos del funcionamiento del sistema.
[1] https://searchdatacenter.techtarget.com/es/definicion/Interfaz-de-programacion-de-aplicaciones-API
DISPOSICIONES de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera.
https://www.dof.gob.mx/nota_detalle.php?codigo=5594445&fecha=04/06/2020
Para obtener más información sobre este tema o cualquiera relacionado, favor de contactar a los miembros de nuestros equipos de FinTech & Criptoactivos.
Diego Ramos Castillo. dramos@rrs.com.mx
Antonio Casas Vessi. acasas@rrs.com.mx
Rodolfo Ramos Ortiz. rramoso@rrs.com.mx
Sara Schoeneck Padilla. sschoeneck@rrs.com.mx
