RESOLUCIÓN que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito (biométricos).
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Hacienda.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.
La Comisión Nacional Bancaria y de Valores, con fundamento en lo dispuesto por los artículos 52, párrafo octavo y 98 Bis de la Ley de Instituciones de Crédito, así como 4, fracciones II, XXXVI y XXXVIII y 16, fracción I de la Ley de la Comisión Nacional Bancaria y de Valores, y
CONSIDERANDO
Que, la Ley de Instituciones de Crédito confiere a la Comisión Nacional Bancaria y de Valores la facultad de emitir disposiciones de carácter general, con el propósito de establecer lineamientos claros, simplificados y homologados que permitan a las instituciones de crédito integrar expedientes y llevar a cabo procesos de identificación y autenticación de clientes de manera eficiente, asegurando la adecuada obtención de información y documentación necesaria para la celebración y seguimiento de operaciones y servicios financieros, acordes con las mejores prácticas regulatorias;
Que, en el contexto de las operaciones presenciales, el artículo 51 Bis en relación con el 51 Bis 4 de las Disposiciones de carácter general aplicables a las instituciones de crédito, establece que las instituciones de crédito deben verificar en línea que la huella dactilar de la persona física que presenta la credencial para votar, pasaporte o matrícula consular coincida, al menos, en un noventa por ciento con los registros del Instituto Nacional Electoral y Secretaría de Relaciones Exteriores, fiscal mexicana o dependencia federal que provea un servicio de verificación de información. Sin embargo, la regulación actual no contempla la verificación por biometría facial, a pesar de que el artículo 310, fracción IV, de las Disposiciones ya prevé el uso de datos biométricos como mecanismos de autenticación, y
Que, derivado de lo anterior, resulta necesario que las Disposiciones contemplen expresamente la posibilidad de utilizar información biométrica que permita identificar de manera fehaciente a los usuarios, siempre y cuando las instituciones verifiquen la coincidencia de dicha información con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores u otra autoridad fiscal mexicana o dependencia federal que provea un servicio de verificación similar, medidas con las que se dará certeza, seguridad, confiabilidad de los procesos de autenticación, fomentando la estabilidad del sistema financiero en beneficio del público en general; ha resuelto expedir la siguiente:
RESOLUCIÓN QUE MODIFICA LAS DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS
INSTITUCIONES DE CRÉDITO
ÚNICO.- Se REFORMAN los artículos 51 Bis, párrafo primero, fracción I, incisos a), párrafo segundo, b), párrafo segundo y c), párrafo segundo; 51 Bis 2; 51 Bis 3; 51 Bis 4, párrafo primero, fracciones I, inciso b), párrafos primero y segundo, II, párrafo primero, inciso b), párrafos primero y segundo, y V, párrafos primero, segundo y tercero; 51 Bis 5; y se SUSTITUYE el Anexo 71 de las Disposiciones de carácter general aplicables a las instituciones de crédito, publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005 y modificadas mediante resoluciones publicadas en dicho órgano de difusión, para quedar como sigue:
"Artículo 51 Bis.- Las Instituciones deberán requerir a las personas físicas que de manera presencial soliciten la celebración de operaciones pasivas relacionadas con Cuentas Bancarias Nivel 4, o bien operaciones activas, de servicios o medios de pago que estén relacionados con Cuentas Bancarias Niveles 3 y 4, cuando dichas cuentas se encuentren aperturadas en la propia Institución o en otra, pudiendo celebrarse dichas operaciones por cuenta propia o en nombre y representación de terceros, que proporcionen de la persona que se presenta y, en su caso, de la persona a la que representa, lo siguiente:
I. . . .
a) . . .
Las Instituciones deberán efectuar las acciones de verificación a que alude el Artículo 51 Bis 4, fracción I de las presentes disposiciones respecto de la persona que se presenta. En el caso de que la operación la realice un representante, no se verificarán en línea los datos biométricos del representado.
b) . . .
Las Instituciones deberán realizar las acciones de verificación a que se refiere el Artículo 51 Bis 4, fracción II de las presentes disposiciones respecto de la persona que se presenta. En el caso de que la operación la realice un representante, no se verificarán en línea los datos biométricos del representado.
c) . . .
Las Instituciones deberán realizar las acciones de verificación a que se refiere el Artículo 51 Bis 4, fracción V de las presentes disposiciones respecto de la persona que se presenta. En el caso de que la operación la realice un representante, no se verificarán en línea los datos biométricos del representado.
. . .
. . .
. . .
II. a IV.. . .
. . .
. . .
. . .
. . .
. . .
. . ."
"Artículo 51 Bis 2.- Las Instituciones, en sustitución de lo requerido por los Artículos 51 Bis y 51 Bis 1 de las presentes disposiciones en materia de verificación de identidad, podrán conformar una base de datos de información biométrica de sus clientes, observando los requerimientos técnicos previstos en el Anexo 71 de las presentes disposiciones, a fin de utilizarla para la verificación de la identidad de sus clientes en la celebración de contratos para realizar operaciones pasivas relacionadas con Cuentas Bancarias Nivel 4; operaciones activas o de servicios, o en la solicitud de medios de pago, relacionados con Cuentas Bancarias Niveles 3 y 4, cuando dichas cuentas se encuentren aperturadas en la propia Institución o en otra, así como para hacer retiros de efectivo y de transferencias de recursos con cargo a Cuentas Bancarias Nivel 4, siempre que den aviso y adjunten la información solicitada en el formato correspondiente del Anexo 75 a la Comisión, a más tardar dentro de los 20 días hábiles posteriores a la fecha en que inicien operaciones en materia de verificación de identidad utilizando la base de datos de información biométrica.
Lo anterior, siempre que las Instituciones realicen, para la integración de dicha base de datos, la verificación de la coincidencia de la información biométrica del cliente con los registros biométricos del Instituto Nacional Electoral, de la Secretaría de Relaciones Exteriores, la autoridad fiscal mexicana u otra dependencia federal, que provea un servicio de verificación de información biométrica. Asimismo, las instituciones deberán contar con la evidencia documental del resguardo de la verificación de la coincidencia realizada entre la información biométrica del cliente con los registros de cualesquiera de las dependencias a las que se refiere el presente párrafo.
Las Instituciones, para efectos de la verificación de la identidad de sus clientes, al momento de conformar su propia base de datos de información biométrica, deberán sujetarse a lo siguiente:
I. Requerir a la persona física cuyos datos se almacenarán en la referida base de datos, su credencial para votar vigente expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, pasaporte mexicano vigente expedido por la Secretaría de Relaciones Exteriores en el país o a través de sus oficinas consulares en el extranjero, matrícula consular vigente expedida por las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, o bien identificación expedida por alguna otra autoridad fiscal mexicana o dependencia federal, cuyos datos biométricos puedan verificarse conforme a lo dispuesto en la fracción III del presente artículo.
En caso de que la persona física que se presente no cuente con ningún documento de los señalados en el párrafo anterior, las Instituciones deberán requerir dos de las demás identificaciones mencionadas en la disposición 4ª, fracción I, inciso b), subinciso (i) de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito emitidas por la Secretaría o las que las sustituyan, y realizar las acciones de verificación previstas en el Artículo 51 Bis 4, fracción IV de estas disposiciones.
II. Hacer primeramente la captura de la información biométrica de sus empleados, directivos o funcionarios que tendrán a su cargo recopilar las de los clientes. Una vez concluida esta captura, recopilarán las de sus clientes. En ambos casos, las Instituciones deberán cumplir con los requerimientos técnicos establecidos en el Anexo 71 de las presentes disposiciones.
III. Tratándose de la credencial para votar vigente expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, pasaporte mexicano vigente expedido por la Secretaría de Relaciones Exteriores en el país o a través de sus oficinas consulares en el extranjero, matrícula consular vigente expedida por las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, deberá de efectuar las acciones de verificación indicadas en el Artículo 51 Bis 4, fracciones I, II y V de estas disposiciones; o bien, tratándose de otros documentos de identificación distintos a los señalados en la presente fracción, realizar la verificación de la coincidencia de la información biométrica del cliente con los registros biométricos de la autoridad fiscal mexicana, o dependencia federal que corresponda.
IV. Asimismo, deberán corroborar la existencia de la Clave Única de Registro de Población del cliente con el Registro Nacional de Población y que los datos proporcionados por el cliente coinciden con los de dicho Registro, observando al efecto lo establecido en el Artículo 51 Bis, fracción II de las presentes disposiciones.
Cuando una Institución conforme una base de datos de información biométrica de sus clientes, de conformidad con el procedimiento establecido en el presente artículo, deberá realizar una validación anual respecto de los mecanismos de seguridad mencionados en el Anexo 71 en cumplimiento a la verificación señalada en el Artículo 168 Bis 14, fracción IX de las presentes disposiciones y enviar a la Comisión, a más tardar dentro de los 20 días hábiles posteriores a la conclusión de la validación, las acciones para la atención de las desviaciones identificadas en la citada validación.
La Comisión podrá requerir a la Institución en todo momento información adicional con la finalidad de supervisar el cumplimiento de los requisitos establecidos en el presente artículo. Asimismo, previo derecho de audiencia que otorgue a la Institución, podrá instruir la suspensión parcial o total, temporal o definitiva del uso de la base de datos de información biométrica, cuando a juicio de la propia Comisión se determine que la Institución ha incumplido con los requisitos técnicos, operativos y de seguridad de manera grave o reiterada.
La información de las bases de datos que contengan información biométrica de los clientes no deberá ser enajenada, vendida, transferida, compartida o solicitada bajo cualquier esquema de intercambio, resguardo, reutilización o interoperabilidad entre Instituciones ni con terceros, para llevar a cabo las verificaciones de identidad a que se refiere la Sección Segunda, del Capítulo II, del Título Segundo de las presentes disposiciones. Lo anterior sin perjuicio de lo establecido en el Artículo 113 de la Ley para Regular las Agrupaciones Financieras.
Asimismo, las acciones de verificación a las que se refiere dicha sección deberán realizarse exclusivamente contra la información que obra en las bases de datos conformadas por cada Institución. Sin perjuicio de lo anterior, las Instituciones podrán contratar con terceros los servicios para la conformación de sus bases de datos en el cumplimiento de los requisitos a los que se refiere el presente artículo, el artículo 51 Bis 3 y el Capítulo XI del Título Quinto de las presentes disposiciones.
Cuando las Instituciones decidan dejar de utilizar la base de datos de información biométrica, deberán de dar un aviso a la Comisión de conformidad con el formato correspondiente del Anexo 75 de las presentes disposiciones, con al menos 20 días hábiles posteriores al término del uso de la base anteriormente mencionada. Una vez concluido su uso, deberán realizar la supresión de los datos biométricos contenidos en la base referida, mediante procedimientos y medidas de seguridad administrativas, técnicas y físicas que impidan su recuperación, acceso o tratamiento no autorizado, y conservar la evidencia documental, para cuando la Comisión requiera dicha evidencia.
Artículo 51 Bis 3.- La Comisión podrá autorizar el uso de procesos distintos a los señalados en el Artículo 51 Bis 2, fracciones I y II para la conformación de la base de datos de información biométrica, para lo cual las Instituciones deberán realizar la verificación de la coincidencia de la información biométrica del cliente con los registros biométricos del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores, la autoridad fiscal mexicana u otra dependencia federal, que provea un servicio de verificación de información biométrica, y contar con los elementos de seguridad necesarios para el resguardo e integridad de la información. Para efectos de la autorización prevista en el presente párrafo, las Instituciones deberán presentar a la Comisión el formato correspondiente del Anexo 75 con lo siguiente:
I. La descripción detallada del mecanismo, el cual deberá ser aprobado por su Consejo, así como de la Infraestructura Tecnológica empleada en cada parte del proceso.
II. La descripción de los medios necesarios para la transmisión y resguardo de la información que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de su manipulación, así como su adecuada conservación y disponibilidad.
En la implementación del mecanismo que se apruebe para la conformación de la base de datos de información biométrica, las Instituciones deberán observar lo señalado en los párrafos segundo y tercero del Anexo 71 de estas disposiciones, con excepción del inciso a) del tercer párrafo de dicho Anexo; así como dar cumplimiento al párrafo sexto del artículo 51 Bis 2 de estas Disposiciones.
Las Instituciones deberán contar con la evidencia documental del resguardo del resultado de la verificación de la coincidencia realizada entre la información biométrica del cliente con los registros de cualquiera de las autoridades a las que se refiere el primer párrafo del presente artículo.
Cuando las Instituciones decidan dejar de utilizar dicha base de datos deberán de dar un aviso a la Comisión de conformidad con el formato correspondiente del Anexo 75 de las presentes disposiciones, al menos 20 días hábiles posteriores al término de uso de la base mencionada. Una vez concluido dicho uso, deberán realizar la supresión de los datos personales contenidos en la base referida, mediante procedimientos y medidas de seguridad administrativas, técnicas y físicas que impidan su recuperación, acceso o tratamiento no autorizado, y conservar evidencia documental de lo anterior, misma que deberá estar a disposición de la Comisión, para cuando esta la requiera.
Artículo 51 Bis 4.- . . .
I. . . .
a) . . .
b) Verificar en línea que la información biométrica que se obtenga de la persona física que presenta la credencial para votar emitida por el Instituto Nacional Electoral coincida, al menos, en un noventa por ciento con los registros del mencionado Instituto. Para tales efectos, la información biométrica obtenida deberá cumplir con los requisitos técnicos especificados por dicho Instituto. Los lectores de la información biométrica señalados, así como las aplicaciones que las Instituciones dispongan para lo anterior, deberán asegurar que la información biométrica se obtenga directamente de la persona titular, evitando el registro de datos biométricos provenientes de un mecanismo que pretenda simular la información biométrica de otra persona, así como contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de estos, no sea conocida ni utilizada por terceros no autorizados.
Las Instituciones deberán prever mecanismos y procedimientos documentados para llevar a cabo las contrataciones y la solicitud de medios de pago señaladas en el Artículo 51 Bis, así como la realización de las operaciones a que alude el Artículo 51 Bis 1 de estas disposiciones, con aquellas personas físicas de las que por cualquier impedimento físico no se pueda obtener al menos uno de los datos biométricos, para efectos de su autenticación ante el Instituto Nacional Electoral, lo cual deberá constar en el expediente del cliente respectivo.
. . .
. . .
II. . . .
a) . . .
b) Verificar en línea que la información biométrica que se obtenga de la persona física que presenta el pasaporte mexicano coincida, al menos, en un noventa por ciento con los registros de la Secretaría de Relaciones Exteriores. Para tales efectos, la información biométrica obtenida deberá cumplir con los requisitos técnicos especificados por dicha Secretaría. Los lectores de la información biométrica señalados, así como las aplicaciones que las Instituciones dispongan para lo anterior, deberán asegurar que la información biométrica se obtenga directamente de la persona, evitando el registro de datos biométricos provenientes de un mecanismo que pretenda simular la información biométrica de otra persona, así como contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de estos, no sea conocida ni utilizada por terceros no autorizados.
Las Instituciones deberán prever mecanismos para celebrar los contratos o la solicitud de medios de pago señaladas en el Artículo 51 Bis, así como la realización de las operaciones a que alude el Artículo 51 Bis 1 de estas disposiciones, con personas físicas que, por cualquier impedimento físico, no se pueda obtener al menos uno de los datos biométricos, para efectos de su verificación ante la Secretaría de Relaciones Exteriores, lo cual deberá constar en el expediente del cliente respectivo.
. . .
III. y IV. . . .
V. En caso de la matrícula consular vigente expedida por las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Instituciones verificarán la coincidencia de los datos que a continuación se señalan con los registros de dicha Secretaría:
a) a c) . . .
Adicionalmente, las Instituciones deberán verificar en línea que la información biométrica que se obtenga de la persona física que presenta la matrícula consular coincida, al menos, en un noventa por ciento con los registros de la Secretaría de Relaciones Exteriores. Para tales efectos, la información biométrica obtenida deberá cumplir con los requisitos técnicos especificados por dicha Secretaría. Los lectores de la información biométrica señalados, así como las aplicaciones que las Instituciones dispongan para lo anterior, deberán asegurar que la información biométrica se obtenga directamente de la persona, evitando el registro de datos biométricos provenientes de un mecanismo que pretenda simular la información biométrica de otra persona, así como contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de estos, no sea conocida ni utilizada por terceros no autorizados.
Las Instituciones deberán prever mecanismos para celebrar los contratos o la solicitud de medios de pago señaladas en el Artículo 51 Bis, así como la realización de las operaciones a que alude el Artículo 51 Bis 1 de estas disposiciones, con personas físicas que, por cualquier impedimento físico, no se pueda obtener al menos uno de los datos biométricos para efectos de su verificación ante la Secretaría de Relaciones Exteriores, lo cual deberá constar en el expediente del cliente respectivo.
. . .
. . .
Artículo 51 Bis 5.- La Comisión podrá autorizar a las Instituciones la utilización de documentos de identificación distintos a los señalados en el artículo 51 Bis y la realización de acciones de verificación distintas a las señaladas en el artículo 51 Bis 4 de las presentes disposiciones, para lo cual deberán presentar el formato correspondiente del Anexo 75 de las presentes disposiciones, con su propuesta del proceso que deberá incluir el documento de identificación que se pretende utilizar con su respectiva acción de verificación, la cual podrá incluir cualquiera de los documentos de identificación y acciones de verificación señalados en el presente Capítulo, siempre que acrediten que su resultado, a juicio de la propia Comisión, es fiable para identificar a la persona física de que se trate y dichas acciones de verificación incluyan algún elemento de identificación que sea validado ante alguna autoridad fiscal mexicana o dependencia federal que provea un servicio de verificación de información biométrica.
En la implementación de las acciones de verificación distintas que, en su caso, se aprueben, las Instituciones deberán observar lo señalado en el párrafo sexto del artículo 51 Bis 2 anterior, así como el cumplimiento de los párrafos segundo y tercero del Anexo 71 de las presentes disposiciones, con excepción de lo señalado por el inciso a) del párrafo tercero de dicho Anexo.
Al solicitar las aprobaciones a que se refiere el párrafo primero de este artículo, las Instituciones deberán presentar lo siguiente:
I. La descripción detallada del proceso, el cual deberá ser aprobado por su Consejo, así como la Infraestructura Tecnológica empleada en cada parte de este.
II. El método de validación de los documentos de identificación que se admitirán para realizar la contratación u operación de que se trate, así como el procedimiento para verificar que dichos documentos corresponden a su portador.
III. Evidencia de que los medios de verificación de la validez de los documentos de identificación de los posibles clientes, tiene la efectividad aprobada por el comité de riesgos de las Instituciones.
Cuando las Instituciones pretendan modificar el procedimiento descrito, requerirán de la previa autorización de la Comisión.
Asimismo, cuando las Instituciones decidan dejar de utilizar algún documento de identificación y la respectiva acción de verificación autorizada conforme al presente artículo, deberán de dar un aviso a la Comisión de conformidad con el formato correspondiente del Anexo 75 de las presentes disposiciones, dentro de los 20 días hábiles posteriores respecto del término de su uso."
TRANSITORIOS
PRIMERO.- La presente Resolución entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.
SEGUNDO.- Las Instituciones que, a la entrada en vigor de la presente Resolución, tengan conformada una base de datos de información biométrica de sus clientes deberán presentar dentro de un plazo de 30 días naturales, un aviso a la Comisión de conformidad con el formato correspondiente del Anexo 75 al que hace referencia el artículo 51 Bis 2 de la presente Resolución, indicando la fecha de conformación de dicha base, así como la fecha a partir de cuando la utilizan en materia de verificación, señalando el tipo de identificación y verificación biométrica que usan.
TERCERO.- Las Instituciones deberán apegarse a lo establecido en esta Resolución modificatoria, dentro de un plazo máximo de 90 días hábiles contados a partir de su entrada en vigor.
CUARTO.- Las Instituciones solo podrán conformar la base de datos de información biométrica de sus clientes de conformidad con el artículo 51 Bis 2 y 51 Bis 3 para los datos biométricos de huella dactilar y biometría facial a que se refiere el Anexo 71 de las presentes disposiciones, hasta en tanto se incluyan las especificaciones técnicas para otro tipo de datos biométricos que la Comisión estime necesarios prever para efectos de autenticación de los clientes de las Instituciones.
Atentamente
Ciudad de México, a 25 de junio de 2026.- Presidente de la Comisión Nacional Bancaria y de Valores, Ángel Cabrera Mendoza.- Rúbrica.
ANEXO 71
REQUERIMIENTOS TÉCNICOS PARA LA CAPTURA DE HUELLAS DACTILARES Y BIOMETRÍA FACIAL COMO
DATOS BIOMÉTRICOS
Las Instituciones solo podrán conformar la base de datos de información biométrica de sus clientes para los datos biométricos de huella dactilar y biometría facial a que se refiere este anexo, hasta en tanto se prevean en la regulación aplicable especificaciones técnicas para otro tipo de datos biométricos que la Comisión estime necesarios prever para efectos de autenticación de los clientes de las Instituciones y contar con la evidencia documental de dicha verificación, la cual deberá estar a disposición de la Comisión cuando esta lo requiera.
El proceso de primera captura de los datos biométricos de huella dactilar o biometría facial deberá consistir en registrar, en primer lugar, los datos biométricos de huella dactilar o biometría facial, según corresponda, de los empleados, directivos y funcionarios de las Instituciones que estarán a cargo de registrar dichos datos biométricos de los clientes. En segundo lugar, los referidos empleados, directivos y funcionarios referidos, procederán a capturar los datos biométricos de huella dactilar o biometría facial, según corresponda, de los clientes de la Institución, este proceso deberá de ser verificado de manera anual por los responsables de Contraloría Interna de la Institución.
El proceso de captura de datos biométricos deberá impedir que un empleado, directivo o funcionario de la Institución registre sus propios datos biométricos en sustitución de las del cliente. Las Instituciones en todo momento deberán garantizar la integridad de la información biométrica almacenada o trasmitida, así como la conservación, disponibilidad y la imposibilidad de manipulación de tal información. Para efectos de lo previsto en este párrafo las Instituciones deberán ajustarse al menos a lo siguiente:
a) Segregar lógicamente las bases de datos de información biométrica en la Infraestructura Tecnológica en la que se almacena dicha información.
b) Almacenar y procesar la información biométrica en Infraestructura Tecnológica dedicada únicamente a estos servicios, en segmentos independientes de red mediante componentes de seguridad que permitan solamente el tráfico autorizado hacia dicha infraestructura.
c) Configurar de manera segura los equipos, de acuerdo con el tipo de elemento de infraestructura, puertos, servicios, permisos, listas de acceso, actualizaciones del fabricante y configuración de fábrica.
d) Establecer controles de acceso y mecanismos de identificación y autenticación de todos y cada uno de los Usuarios de la Infraestructura Tecnológica, que permitan reconocerlos de forma inequívoca y aseguren el acceso únicamente a las personas autorizadas expresamente para ello. Ambos mecanismos deberán incluir controles específicos para aquellos Usuarios de la Infraestructura Tecnológica con mayores privilegios, derivados de sus funciones, tales como las de administración de bases de datos y de sistemas operativos, incluyendo registros de auditoría sobre todos los accesos.
e) Contar con mecanismos de cifrado de la información cuando sea transmitida o almacenada.
f) Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como de penetración en los diferentes elementos de la Infraestructura Tecnológica a fin de implementar mecanismos de defensa que prevengan el acceso y uso no autorizado de la información.
g) Implementar controles para la conservación de la información, incluyendo aquellos respecto de la integridad de la información almacenada, que permitan identificar cualquier cambio a los datos originales, así como de conservación y borrado seguro que eviten en todo momento que puedan ser conocidos por terceros no autorizados.
h) Implementar controles que restrinjan la consulta, extracción, copia o cualquier forma de acceso no autorizados a la información biométrica contenida en las bases de datos.
I. Captura de huella dactilar
Los registros de datos biométricos que realicen las Instituciones consistirán en una toma de imagen de las crestas papilares de los dedos sobre una superficie de contraste por presión, a partir de la cual se obtienen los datos biométricos. Dicha toma deberá considerar controles que aseguren que se obtienen directamente de la persona, evitando el registro de huellas provenientes de impresiones en algún material que pretenda simular la huella de otra persona (prueba de huella viva). Para efectos de lo previsto en este párrafo las Instituciones deberán ajustarse al menos a lo siguiente:
a) Las Instituciones deberán capturar al menos seis huellas dactilares de sus clientes.
b) Las Instituciones deberán utilizar lectores de huellas de al menos dos dedos por lectura (dispositivos duales) para el procedimiento de primera captura de huellas dactilares para la integración de sus bases de datos.
c) Para el proceso de captura de huellas dactilares, los requerimientos mínimos de la imagen son los siguientes:
| Resolución del escáner (puntos por pulgada) | Profundidad (pixeles) | Rango dinámico mínimo (niveles de gris) |
| 500 | 8 bits | 200 |
Parámetros de operación de la plataforma (software y hardware) para la captura de huellas dactilares
| PARÁMETRO | DECISIÓN | OBSERVACIÓN |
| Primera captura de huellas dactilares |
| Imagen capturada |
| Tipo de toma | M | Plana en vivo. |
| Número de dedos | M | De 10 para empleados, directivos y funcionarios. De 6 para clientes como mínimo. Lo anterior, salvo la excepción que se establece en este anexo. |
| Posición de los dedos | MP | Los dedos deberán ser colocados en el centro del plato con respecto al horizonte de este y paralelos a la superficie de captura. |
| Ángulo de captura | MP | Los dedos deberán ser colocados a 90° con una rotación de ±10° con respecto al horizonte del plato. |
| Movimiento en la captura | MP | Evitar el deslizamiento de las huellas sobre el plato al momento de realizar la captura, para evitar imágenes manchadas. |
| Visualización | MP | El operador debe observar en tiempo real información de la captura. |
| Segmentación | MP | Probado por el NIST en la prueba denominada "Slap Seg II test". |
| Secuencia | M | Validar que no se repitan las huellas de cada dedo durante un mismo proceso de captura. |
| Deduplicación | M | Validar que las huellas de los clientes o empleados de la Institución no se encuentren previamente registradas en la base de datos con la información de otro cliente o empleado de la Institución. |
| Dispositivos |
| Dual | M | Certificados EFTS anexo F FAP 45. |
| Decadactilares (4-4-2) | M | Certificados EFTS anexo F FAP 50 o 60. Revisión de secuencia. |
| Superficie | M | De contraste por presión |
| Imagen | M | Genera RAW. Vista previa de la toma realizada. |
| Información a obtener del dispositivo | M | El número de serie es obligatorio. Opcionalmente el dispositivo debe tener versión de Firmware, fabricante, y modelo. |
| Operación |
| Asistido | M | Sí. Captura de huellas jerárquica y se debe registrar al menos una huella del operador, el cual debe estar registrado biométricamente en la Institución. |
| Análisis de parámetros de calidad | M | Conforme a NFIQ. |
| Limpieza | MP | Limpiar el plato antes de cada captura de huellas dactilares para lectores ópticos. |
| Iluminación | MP | Para dispositivos ópticos evitar fuentes de luz sobre el dispositivo de captura. |
| Recaptura | M | En caso de no obtener los parámetros de calidad mínimos, al menos 3 intentos por huella. |
| Transmisión |
| Compresión imágenes de 500 puntos por pulgada (ppi, por su siglas en inglés) | M | Compresión única a partir de imagen RAW. WSQ máximo 10:1. |
Decisión: M->Mandatorio O->Opcional MP->Mejor práctica
Excepción a la captura de huellas dactilares
En caso de que los clientes, empleados, directivos y funcionarios de las Instituciones estén imposibilitados de manera permanente para plasmar sus huellas dactilares en los respectivos lectores, se deberá precisar que no es posible realizar la captura de la imagen de las huellas dactilares por amputaciones, injertos, malformación, lesión permanente, prótesis, enfermedad, entre otras.
En todo caso, deberá capturarse el mayor número de huellas posibles, haciendo las anotaciones correspondientes en el expediente.
En el caso de que existan datos biométricos previamente registrados, las Entidades deberán de contar con procedimientos y acciones de verificación previstos en el Artículo 51 Bis 4, fracciones I, II y V que permitan verificar que los datos del cliente coinciden con los registros biométricos de alguna autoridad fiscal mexicana o dependencia federal, cuando los clientes estén imposibilitados de manera permanente para plasmar sus huellas dactilares en los respectivos lectores.
En caso de que las aplicaciones, procesos, parámetros o dispositivos utilizados en la captura de huellas dactilares no se apeguen a los requisitos del presente anexo, las Instituciones deberán someterlos a la aprobación de la Comisión a la que se refiere el artículo 51 Bis 3. No obstante, tratándose de la captura de huellas dactilares de los clientes de las Instituciones, en ningún caso esta podrá ser menor a seis huellas, salvo por la excepción prevista en este anexo.
Autenticación Biométrica utilizando la base de datos de huellas dactilares de las propias Instituciones
Para el proceso mediante el cual se haga la lectura de huellas dactilares para efectos de autenticación (cotejo 1 a 1) de clientes ya registrados, y su uso como Factor de Autenticación Categoría 4, en su caso, los requerimientos de captura de imagen son los siguientes:
| Resolución del escáner (puntos por pulgada) | Profundidad (pixeles) | Rango dinámico mínimo (niveles de gris) |
| 300 | 4 bits | 12 |
| 500 | 8 bits | 80 |
| PARÁMETRO | DECISIÓN | OBSERVACIÓN |
| Autenticación Biométrica |
| Imagen Capturada |
| Número de dedos | O | 1 a 4 dependiendo el tipo de lector. |
| Cualquier dedo | O | Sí. La muestra contra todos los registros del usuario. |
| Recaptura | O | Sí. Se sugiere un mínimo de tres intentos. |
| Dispositivos. |
| Móvil | M | Certificados EFTS anexo F o PIV FAP 30. |
| Dual | M | Certificados EFTS anexo F FAP 45. |
| Decadactilares (4-4-2) | M | Certificados EFTS anexo F FAP 50 o 60. |
| Unidactilar | O | Se recomienda PIV. |
| Transmisión |
| Formato | O | Alguno de los siguientes: Formato Propietario, Formato RAW, imagen comprimida con los estándares ANSI INCITS 378 o ISO/IEC 19794-2. |
Decisión: M->Mandatorio O->Opcional MP->Mejor práctica
II. Lineamientos de operación para reconocimiento facial
Las aplicaciones y dispositivos utilizados en el proceso de captura de elementos faciales, deberán considerar al menos los siguientes requerimientos:
Parámetros de operación de la plataforma (software y hardware) para la captura de biométrico facial:
| PARÁMETRO | DECISIÓN | OBSERVACIÓN |
| Primera captura de biometría facial |
| Procesos |
| Deduplicación | M | Validar que las capturas de los clientes o empleados de la Institución no se encuentren previamente registradas en la base de datos con la información de otro cliente o empleado de la Institución conforme estándar NIST FRVT 1:N |
| Suplantación de Identidad | M | ISO/IEC 30107-3 o Face Verification Certification. |
| Requerimientos digitales y fotográficos | M | Estándar ISO 19794-5 sección 7.3,7.4, 8.3 y 8.4. |
| Captura de imagen facial |
| Imagen Capturada | M | 2D Frontal completa, 24 bits a color distancia entre ojos mínimo 90 pixeles. |
| Postura | M | Debe permitir una rotación de al menos ±5° frontal en cualquier dirección (arriba, abajo, izquierda, derecha). |
| Expresión | M | Expresión neutral del rostro. Se deben evitar sonrisas, guiños, etc. Mirada al lente de la cámara (con excepción de impedimentos físicos). |
| Iluminación | M | Equilibrada y distribuida en cada parte del rostro. Para lograr tonos de piel natural y evitar ojos rojos. |
| Profundidad de Campo | M | La pose central del rostro completa estará en foco desde la coronilla hasta la barbilla y desde la nariz hasta las orejas. |
| Lentes | M | No se permitirá el uso de armazón de cualquier tipo. |
| Accesorios | M | Solo se permiten accesorios médicos (sin sombreros, ni accesorios que cubran el rostro). |
| Impedimentos para la toma | M | Ojos cerrados. Cabello cubriendo los ojos o la frente. Elementos que obstruyan la frente. |
| Vello Facial | M | Está permitido. |
| Fondo | O | Se empleará un fondo uniforme de color claro que contraste con el rostro y el cabello, se recomienda gris pálido o blanco. |
| Operación | M | Ambiente controlado de iluminación. |
| Asistido | M | Sí. |
| Segmentación y extracción de características | M | Recorte de acuerdo con el estándar ICAO. Extracción de características automáticas por software. |
| Revisión de calidad | M | Automáticas por software se debe evaluar el estándar ICAO para la calidad de la imagen. |
| Autenticación Biométrica |
| Captura de Imagen | O | Igual que en captura de imagen facial. |
| Numero de Imágenes | O | Una frontal completa. |
| Transmisión |
| Formato | M | Plantilla Biométrica, imagen comprimida con los estándares ISO/IEC 19794-5:2011 |
Decisión: M->Mandatorio O->Opcional MP->Mejor práctica
Autenticación Biométrica utilizando la base de datos de biometría facial de las propias Instituciones
Para el proceso mediante el cual se haga la lectura de biometría facial para efectos de autenticación (cotejo 1 a 1) de clientes ya registrados, y su uso como Factor de Autenticación Categoría 4, en su caso, los requerimientos de captura de imagen son los siguientes:
| PARÁMETRO | DECISIÓN | OBSERVACIÓN |
| Comparación |
| Imagen Capturada |
| Resolución de Imagen | MP | Valor mínimo de la distancia entre ojos (IED) de unos 90 píxeles, preferiblemente 120 píxeles. |
| Transmisión |
| Formato | M | Alguno de los siguientes: Plantilla Biométrica con Formato Propietario, Formato RAW, imagen comprimida con los estándares ISO/IEC 19794-5:2011 |
Decisión: M->Mandatorio O->Opcional MP->Mejor práctica
En caso de que las aplicaciones, procesos, parámetros o dispositivos utilizados en la captura de biometría facial no se apeguen a los requisitos del presente anexo, las Instituciones deberán someterlos a la aprobación de la Comisión a la que se refiere el artículo 51 Bis 3.
III. GLOSARIO
Las siguientes definiciones en singular o plural serán aplicables únicamente para efectos del presente Anexo.
ANSI: American National Standards Institute, de los Estados Unidos de América.
Autenticación Biométrica: El Proceso mediante el cual se verifica la identidad del Usuario con los datos biométricos de huellas dactilares o del rostro que las Instituciones hayan obtenido previamente. Este proceso implica búsquedas de patrones almacenados de un solo individuo (1 a 1).
Comparación: Proceso mediante el cual la Plantilla Biométrica generada a partir de una "captura en vivo" es comparada con la(s) otra(s) Plantilla(s) Biométricas generadas y guardadas previamente, a través de cálculos algorítmicos y de puntajes de coincidencia que se evalúan con base en umbrales de coincidencia previamente establecidos por la Institución.
Deduplicación: La técnica especializada de compresión de datos utilizada para evitar copias duplicadas de estos.
EFTS (por sus siglas en inglés Electronic Fingerprint Transmission Specifications): Las especificaciones para transmisión de información biométrica de la Oficina Federal de Investigación de los Estados Unidos de América (FBI).
FAP (por sus siglas en inglés FingerPrint Acquisition Profile): Es una subdivisión de las categorías aplicadas a los dispositivos para adquisición de huellas basada en dimensiones, número de dedos simultáneos a capturar, calidad de la imagen. Cuando se acompaña de un número (30, 45, 50, 60) este indica el área de captura en pulgadas (45=1.6 x 1.5; 60=3.2 x 3.0, etc.).
ICAO: El estándar para fotografías en pasaportes emitido por la International Civil Aviation Organisation.
INCITS (por sus siglas en inglés InterNational Committee for Information Technology Standards): El foro central de los Estados Unidos de América, dedicado a la creación de estándares para la innovación tecnológica.
ISO/IEC: El estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional.
NFIQ: NIST Fingerprint Image Quality. Los estándares de calidad de las imágenes de huellas dactilares definido por el NIST.
NIST: National Institute of Standards and Technology.
PIV: El estándar definido por el NIST para verificación de huellas dactilares 1-a-1 (comparación de una huella contra un registro).
Plantilla Biométrica: Representación alfanumérica de la información extraída de una o más muestras biométricas.
Plato: La superficie de captura del dispositivo de captura de huellas dactilares.
RAW: El formato de captura de la imagen en crudo (sin procesar) de una huella dactilar.
Segmentación: El proceso mediante el cual se individualiza la imagen de la huella dactilar de cada dedo, con base en una imagen comprimida con WSQ o bien una sola imagen RAW obtenida del lector, para conseguir hasta cuatro imágenes independientes, una de cada dedo.
Slap Seg II Test: La prueba que evalúa la precisión con que el algoritmo segmenta imágenes en capturas multi-dedos.
WSQ (por sus siglas en Inglés Wavelet Scalar Quantization): El estándar creado por el FBI que define el formato para la compresión de imágenes de huellas dactilares.
________________________