I want to know about...

4

DIARIO OFICIAL
d
VI.

Jueves 4 de junio de 2020

Constituya la materialización de un menoscabo, ya sea por extracción, alteración o extravío de la información; por fallas derivadas del uso del hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de transmisión de información; por accesos no autorizados que deriven en el uso indebido de la información o de los sistemas; por fraude, robo o en interrupción de los servicios, atentados contra las infraestructuras interconectadas, conocidos como ciberataques.

Infraestructura, a los equipos de cómputo, instalaciones de procesamiento de datos y comunicaciones, equipos y redes de comunicaciones, sistemas operativos, bases de datos, aplicaciones y sistemas que utilizan los Solicitantes de Datos o Proveedores de Datos para soportar la operación de las APIs.

VII. Ley, a la Ley para Regular las Instituciones de Tecnología Financiera.
VIII. Proveedores de Datos, a las Entidades Financieras, ITF, sociedades autorizadas por la CNBV para operar con Modelos Novedosos y transmisores de dinero, que conforme al primer párrafo del artículo 76 de la Ley, estén obligados a establecer APIs con el fin de compartir Datos.
IX.

Solicitantes de Datos, a las Entidades Financieras, ITF, sociedades autorizadas para operar con Modelos Novedosos, transmisores de dinero y terceros especializados en tecnologías de información.

X.

Usuarios, a las personas que utilicen los productos o servicios que ofrezcan los Solicitantes de Datos.
Capítulo II
De los Solicitantes de Datos
Artículo 2.- Los Solicitantes de Datos cuyas APIs desarrolladas o administradas por estos cumplan con lo establecido en los Anexos 1, 2 y 3 de las presentes disposiciones, se tendrán por autorizados por la CNBV, sin necesidad de declaración alguna, para acceder a los Datos de los distintos Proveedores de Datos a los que solicite su acceso a través de dichas APIs.
Capítulo III
De los Proveedores de Datos Artículo 3.- Los Proveedores de Datos en el desarrollo o administración de sus APIs deberán cumplir con los Anexos 1, 2 y 3 de las presentes disposiciones.
Los Proveedores de Datos publicarán, de forma clara, precisa y en idioma español, en su página de Internet o cualquier otro medio de comunicación electrónica, aplicaciones informáticas o digitales, el proceso que deberán seguir los Solicitantes de Datos para acceder a los Datos a través de APIs y las contraprestaciones que, en su caso, deberán pagar por el intercambio de Datos.
Los términos y condiciones que establezcan los Proveedores de Datos con los Solicitantes de Datos para llevar a cabo el intercambio de Datos a través de APIs, deberán establecer mecanismos y controles que aseguren la confidencialidad e integridad de los Datos en su acceso, procesamiento y almacenamiento por parte de los Solicitantes de Datos.
Artículo 4.- Los Proveedores de Datos deberán contar con una política de seguridad de la información que proteja en todo momento la Infraestructura, propia o de terceros contratados por estos, así como la confidencialidad e integridad de los Datos que, en su caso, compartan a través de APIs. La mencionada política de seguridad deberá contener procedimientos continuos, mecanismos y controles considerando, al menos, lo siguiente:
I.

Configuración segura de los componentes tecnológicos de su Infraestructura, incluyendo, entre otros, cierre de puertos y servicios, instalación de mecanismos para detección y prevención de virus, códigos maliciosos y detección de intrusos, así como actualizaciones del fabricante.

II.

Mecanismos de identificación y autenticación del personal responsable del manejo de APIs bajo el principio de mínimo privilegio. Se entenderá como principio de mínimo privilegio a la habilitación del acceso únicamente a la información y recursos necesarios para el desarrollo de las funciones propias del personal referido.