I want to know about...

Jueves 4 de junio de 2020

DIARIO OFICIAL

5

III.

Cifrado de la información almacenada y de los canales a través de los que se envíen los Datos, así como mecanismos de identificación y autenticación, que cumplan con los Anexos 1 y 2 de las presentes disposiciones.

IV.

Procesos de gestión para la atención de Incidentes de Seguridad de la Información que se presenten en la operación de las APIs, que aseguren la detección, atención y contención, investigación y, en su caso, análisis forense digital, diagnóstico, solución, seguimiento y reporte a la CNBV a que hace referencia el artículo 6 de estas disposiciones.

V.

Programa de pruebas de escaneo de vulnerabilidades y amenazas en el acceso y administración de las APIs, el cual podrá ser realizado por un tercero. El mencionado programa deberá considerar la realización de dichas pruebas al menos una vez cada 3 meses, así como con un plan de remediación para las vulnerabilidades críticas detectadas.

VI.

Programa de pruebas de penetración, el cual establezca que se realizarán al menos dos pruebas al año sobre sistemas y aplicativos que estén relacionados o conectados con APIs, o bien, cuando lo ordene la CNBV. Dichas pruebas se deberán realizar por un tercero independiente que cuente con personal con capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia. Asimismo, se deberá contar con un plan de remediación para las vulnerabilidades críticas detectadas.

VII. Mecanismos de respaldo y procedimientos de recuperación de la información que mitiguen el riesgo de interrupción de la operación.
VIII. Registros de auditoría íntegros, incluyendo la información detallada de los accesos o intentos de acceso y la operación o actividad efectuada por el Solicitante de Datos con la información obtenida.
La información a que se refiere el presente numeral deberá conservarse por, al menos, un año.
Tratándose de Proveedores de Datos cuyo régimen normativo establezca disposiciones en materia de seguridad de la información, lo previsto en este artículo deberá ser incorporado en las políticas y procedimientos que deban establecer conforme a dicho régimen.
Artículo 5.- Los Proveedores de Datos, deberán asegurar que su Infraestructura para compartir Datos por medio de APIs cumpla con lo siguiente:
I.

Contar con una configuración que garantice que el acceso a los Datos compartidos sea solamente de lectura.

II.

Que la Infraestructura se encuentre segregada de aquella que soporte cualquier operación y que cuente con mecanismos de seguridad que limiten el acceso desde el servicio de APIs hacia este último, bajo el principio de mínimo privilegio.
Se entenderá como principio de mínimo privilegio a la habilitación del acceso únicamente a la información y recursos necesarios para el desarrollo de las funciones propias del personal responsable del manejo de APIs.

III.

Cuenten con procedimientos que garanticen la disponibilidad del servicio relacionado con el intercambio de Datos.

IV.

Registros de auditoría íntegros, incluyendo la información detallada de los accesos o intentos de acceso y la operación o actividad efectuada en la Infraestructura.

Artículo 6.- En los casos en que se presente un Incidente de Seguridad de la Información, los Proveedores de Datos deberán reportarlo a la CNBV, de manera inmediata y, a través del correo electrónico ciberseguridad-cnbv@cnbv.gob.mx. En dicha notificación se deberá indicar, al menos, la fecha y hora de inicio del Incidente de Seguridad de la Información de que se trate y, en su caso, la indicación de si continúa o ha concluido y su duración; una descripción de dicho incidente, así como una evaluación del mismo.
Artículo 7.- Los Proveedores de Datos, en los casos en que interrumpan el acceso de información por el incumplimiento del Solicitante de Datos a los términos y condiciones pactados para el intercambio de Datos, deberán notificarlo, vía correo electrónico, a la dirección general de la CNBV encargada de su supervisión. En