Obliga Ley Fintech a reportar daños de hackeos a Hacienda
COMPARTIR
TEMAS
Las sociedades que constituyan los bancos obtendrán una autorización temporal por parte de la CNBV
CDMX.- Los bancos, casas de bolsa, sociedades financieras y otras entidades que quieran operar los modelos novedosos en la Ley para Regular las Instituciones de Tecnología Financiera, conocida como fintech, deberán presentar reportes trimestrales de los ataques cibernéticos de los que hayan sido objeto, informó la Secretaría de Hacienda.
Al dar a conocer las disposiciones de carácter general para operar los modelos novedosos, ratificó que las sociedades que constituyan los bancos, entre otras entidades financieras para operar los modelos novedosos, obtendrán una autorización temporal por parte de la Comisión Nacional Bancaria y de Valores (CNBV).
Estas sociedades autorizadas estarán obligadas a elaborar una relación de las contingencias operativas e incidentes de seguridad de la información que, en su caso, se hayan presentado al cierre del trimestre inmediato anterior.
LO QUE DEBEN INCLUIR
Deberá incluir la fecha y hora de inicio y duración; los procesos, sistemas y canales afectados; clientes y montos afectados; una descripción del evento que se haya registrado y las causas. Además, la indicación de las acciones que se implementaron para solventarlas y aquellas para evitar su recurrencia.
En las reglas se considera como un incidente de seguridad de la información, la vulneración de los sistemas o componentes de la Infraestructura Tecnológica con un efecto adverso para la sociedad autorizada, sus clientes, terceros, proveedores o contrapartes, comúnmente conocidos como ciberataques.
Se establece como incidente todo aquel que ponga en peligro la confidencialidad, integridad o disponibilidad de un componente o la totalidad de la infraestructura tecnológica usada por una sociedad autorizada o de la información que procesa, almacena o transmite.
Aquel que pueda representar una pérdida, extracción, alteración o extravío de información, así como constituir una violación de las políticas y procedimientos de seguridad de la información.
Con información de agencias
