La Secretaría de Hacienda y Crédito Público (SHCP) dio a conocer las disposiciones generales que deberán aplicar las instituciones de fondos de pago electrónico, conocidas como wallets en materia de controles internos, seguridad de la información y administración de riesgos reguladas bajo la Ley de Tecnología Financiera.

Dichas instituciones, también llamadas carteras digitales, deberán cumplir con un Plan de Continuidad de Negocio que incluya los requerimientos mínimos establecidos, el cual deberá de estar alineado con la Política Estratégica de Continuidad de Negocio y de Seguridad de la Información. También deberán tener mecanismos necesarios para la continuidad operativa y la administración de Contingencias Operativas que incluyan su identificación, evaluación, monitoreo y mitigación.

Las instituciones de fondos de pago electrónico deberán llevar un registro en bases de datos de los eventos de seguridad de la Información calificados como relevantes, incidentes de seguridad de la información, contingencias operativas, así como fallas o vulnerabilidades detectadas en la infraestructura tecnológica.

Dicha base de datos deberá contener la información relacionada con la detección de fallas, errores operativos, intentos de ataques informáticos y de aquellos efectivamente llevados a cabo, así como de pérdida, extracción, alteración, extravío o uso indebido de información de los usuarios de la infraestructura tecnológica o de los clientes.

La información deberá contemplar la fecha del suceso y una breve descripción de este, su duración, servicio o el elemento de la infraestructura tecnológica afectado, clientes afectados y montos, así como las medidas correctivas implementadas.

En caso de presentarse un incidente de seguridad, deberán darlo a conocer de inmediato al Banco de México (Banxico) y la Comisión Nacional Bancaria y de Valores (CNBV), y llevar a cabo una investigación dando a conocer las causas.