CONAMER - Sistema de Mejora Regulatoria

Estás aquí: Inicio /mirs/39200

MIR de alto impacto con análisis de impacto en la competencia y análisis de riesgos

Información General
Calidad regulatoria
Formulario

Información general

Tipo de MIR:

Mir de alto impacto con análisis de impacto en la competencia y análisis de riesgos

Título del anteproyecto:

Anteproyecto norma oficial mexicana nom-151-scfi-2002, requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos

Dependencia:

Secretaría de economía

Responsable Oficial:

Rangel frausto octavio

Editor del anteproyecto:

Lucatero díaz jesus

Estatus del anteproyecto:

En cofemer

Ordenamiento Jurídico:

Norma oficial mexicana

Punto de contacto

Nombre(s):

alberto esteban marina

Cargo:

Titular

Teléfono:

57299100 ext. 43222

Correo electrónico:

Alberto.esteban@economia.gob.mx

¿DESEA QUE LA MIR Y EL ANTEPROYECTO NO SE PUBLIQUEN EN EL PORTAL?

Indique si la regulación propuesta requiere la no publicidad a la que se refiere el artículo 69-K de la Ley Federal de Procedimiento Administrativo (en caso de responder afirmativamente, proporcione la justificación correspondiente):

Justificación:

¿DESEA CONSTANCIA DE QUE EL ANTEPROYECTO FUE PUBLICO AL MENOS 20 DIAS HABILES?

« Sección inhabilitada derivado de cambios producidos por la entrada en vigor el pasado 10 de mayo de 2016 del “Decreto por el que se abroga la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y se expide la Ley Federal de Transparencia y Acceso a la Información Pública.»

Archivo(s) que contiene(n) la regulación

20151120134525_39200_ANEXO I PROY-NOM-151-SCFI-2015.docx

Indique el (los) supuesto (s) de calidad para la emisión de regulación en términos del artículo 3 del Acuerdo de Calidad Regulatoria.

Es un instrumento que se deriva de una obligación específica establecida alguna ley, reglamento, decreto, acuerdo u otra disposición de carácter general expedidos por el Titular del Ejecutivo Federal:

Es un instrumento que se deriva de un compromiso internacional:

Es un instrumento que representa beneficios notoriamente superiores a sus costos en términos de la competitividad y eficiencia de los mercados:

Se trata de un anteproyecto que será expedido por el Titular del Ejecutivo Federal, por lo que no es aplicable el Acuerdo de Calidad Regulatoria:

Brinde la justificación por la que el (los) supuesto (s) de calidad anteriormente señalado (s) es (son) aplicable (s) al anteproyecto:

Véase anexo VII

Apartado I.- Definición del problema y objetivos generales de la regulación

1. Describa los objetivos generales de la regulación propuesta:

1. Describa los objetivos generales de la regulación propuesta^#1 El presente anteproyecto tiene como principal objetivo actualizar los elementos normativos contenidos en la Norma Oficial Mexicana vigente NOM-151-SCFI-2002, “Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos”, que deberán observar todos los comerciantes que conserven mensajes de datos y/o digitalicen documentos en términos de lo dispuesto en los artículos 33, 38, y 49 del Código de Comercio. De acuerdo con el Código de Comercio, los comerciantes están obligados a mantener y llevar un sistema de contabilidad adecuado, mismos que puede llevarse a través de medios digitales y con ayuda de las tecnologías de la información. No obstante, los mismos deben cumplir con requisitos mínimos establecidos en el Art. 33 del Código de Comercio. Asimismo, los comerciantes deberán conservar los comprobantes originales de sus operaciones; los originales de aquellas cartas, telegramas, mensajes de datos o cualesquiera otros documentos en que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones por un plazo mínimo de diez años. Adicionalmente, en el caso de mensajes de datos, se requiere que la información se haya mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta. Derivado de lo anterior, surge la necesidad de asegurar la integridad y autenticidad de mensajes de datos por periodos prolongados de tiempo, garantizando la actualización de los elementos de seguridad electrónica y con ello disminuir la vulnerabilidad a que están expuestos. Los elementos criptográficos involucrados en la digitalización y mensajes de datos quedan inseguros con el paso del tiempo debido al incremento en el poder de cómputo, elemento que no se considera actualmente en la norma vigente. Por ello, la presente actualización de la regulación busca fortalecer los elementos de seguridad informáticos, mediante el establecimiento de requisitos para conservar los mensajes de datos, así como para la digitalización de toda o parte de la documentación en soporte físico, relacionada con los negocios. En este sentido, se pretende incluir métodos para la conservación de los mensajes de datos así como de los equipos para digitalización descritos en el Apéndice 7 y 8 del documento modificatorio. Adicionalmente, el proceso de digitalización deberá ser controlado por un tercero legalmente autorizado, que constatará que dicha migración se realice íntegra e inalterablemente tal y como se generó por primera vez en su forma definitiva. El tercero legalmente autorizado deberá ser un Prestador de Servicios de Certificación acreditado para tales efectos. Por último, el instrumento jurídico propuesto tiene como objetivo considerar la factibilidad técnica de la comprobación del cumplimiento de la norma propuesta, así como de la existencia de infraestructura técnica para ello.

2. Describa la problemática o situación que da origen a la intervención gubernamental a través de la regulación propuesta: *

La Norma Oficial Mexicana NOM-151-SCFI-2000 vigente es una norma que surgió con el objetivo de cubrir lo planteado en el Art. 49 del Código de Comercio, es decir, establecer los requisitos que deben observar los comerciantes para conservar mensajes de datos que consignen contratos, convenios o compromisos y que, por tanto, originan derechos y obligaciones. Las Unidades Económicas (UE) son las encargadas de conservar los mensajes de datos, así como la digitalización de documentos en términos de lo dispuesto en los artículos 33, 38 y 49 del Código de Comercio. En el reciente censo económico de 2014 se tienen contabilizadas, aproximadamente, 4’230,745 UE en el país, mismas que están distribuidas principalmente en el Estado de México (12.6%), Distrito Federal (9.8%), Jalisco (7.4%), Puebla (5.9%) y Veracruz (5.7%) . Los datos que manejan las UE son producto de diversas transacciones comerciales con validez jurídica, que a su vez generan otras, lo que permiten dinamizar la actividad económica del país y que, por la naturaleza de la información, es imperativo mantener estándares de seguridad adecuados que eviten la vulnerabilidad de los datos, así como la falsificación de los mismos. De acuerdo al Censo de 2014, las UE ocupaban, en promedio, a 5 personas y en total emplearon a 21’576,358 personas, es decir 43.8% de la población ocupada del país. Las UE aportaron 87% al PIB nacional , por lo que contar con un sistema de transacciones que brinde certidumbre y seguridad en el manejo de datos es relevante para la capacidad productiva del país, al tiempo que se atienden los diversos ordenamientos jurídicos y comerciales vigentes. En este sentido, la rápida evolución de los sistemas computaciones, así como las amenazas a la seguridad informática y protección de datos, ha ocasionado que las regulaciones se vuelvan obsoletas en un lapso de tiempo muy breve, poniendo en riesgo la seguridad de los datos y restando confianza en las transacciones comerciales entre las UE. Así, el aumento de los delitos cibernéticos ha ido al alza en años recientes; de acuerdo a datos de la División Científica de la Policía Federal, los incidentes de seguridad cibernética aumentaron 113% de 2012 a 2013. Los datos preliminares para 2014 sugieren un aumento aún más pronunciado, aproximadamente 300% más que en el año 2013. De los incidentes denunciados en 2013, aproximadamente 39% fueron contra instituciones académicas, 31% contra instituciones gubernamentales, 26% a entidades del sector privado y 4% a otras entidades. Asimismo, se observaron aumentos considerables de los incidentes relativos a amenazas persistentes avanzadas contra medianas empresas y el uso de códigos maliciosos a fin de hackear información a usuarios para luego intentar extorsionarlos. Aunado a ello, aumentó el uso de malware que utiliza encriptaciones de seguridad complejas para atacar a los servidores de pequeñas y medianas empresas, lo que tiene un impacto cada vez mayor en el sector productivo. Los incidentes de seguridad cibernética más denunciados incluyeron el uso de malware, phishing, hackeos, vandalismo y las intrusiones en sistemas. Los incidentes de fraudes de comercio electrónico, las estafas, los fraudes a la banca electrónica y la extorsión son los más típicos . En consecuencia, es indispensable contar con un marco jurídico que considere los avances tecnológicos en materia de conservación de mensajes de datos y digitalización de documentos, permitiendo la seguridad electrónica a largo del tiempo. Por ello, es necesario que la NOM-151-SCFI-2002 vigente sea adecuada a los cambios tecnológicos que se han generado en la materia; dicha adecuación se pretende lograr a través del establecimiento de requisitos mínimos de los mensajes de datos resultantes de las digitalizaciones, procedimiento de migración de soporte físico a un medio electrónico, incluyendo el formato, niveles de calidad, condiciones técnicas y estándares aplicables conforme al Apéndice 8 del documento modificatorio. Asimismo, los programas informáticos para la conservación de los mensajes de datos así como los equipos para digitalización, deberán cumplir con los métodos que se describen en los Apéndices 7 y 8. Cabe mencionar que el proceso de digitalización deberá ser controlado por un tercero legalmente autorizado, que constatará que dicha migración se realice íntegra e inalterablemente tal y como se generó por primera vez en su forma definitiva, para lo cual emitirá una constancia de conservación.

3. Indique el tipo de ordenamiento jurídico propuesto: *

NOM

Asimismo, señale si existen disposiciones jurídicas vigentes directamente aplicables a la problemática materia del anteproyecto. Enumérelas y explique por qué son insuficientes para atender la problemática identificada:

Disposiciones jurídicas vigentes^#1 El tipo de ordenamiento jurídico es la Norma Oficial Mexicana NOM-151-SCFI-2002 “Requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos”, misma que constituye el objeto del anteproyecto de modificación que se pretende justificar a partir de la presente Manifestación de Impacto Regulatorio (MIR), con base en la actualización del nivel de seguridad para la conservación de mensajes y la digitalización de documentos en términos de lo dispuesto en los artículos 33, 38 y 49 del Código de Comercio. En este sentido, la modificación de la NOM-151-SCFI-2002 vigente atiende principalmente a dos aspectos: • La NOM-151-SCFI-2002 vigente no contempla la actualización durante el periodo de vida de la constancia de los elementos de seguridad electrónica (algoritmos, longitudes de claves, etc.), lo que provoca que las mismas se vuelvan vulnerables con el paso del tiempo. • En la NOM-151-SCFI-2002 vigente se describen los pasos para obtener una constancia que permita alcanzar el objetivo planteado: 1) Obtención de información de los archivos de interés (archivos parciales); 2) Generación de la huella digital de cada archivo parcial (compendios); 3) Recopilación de compendios (expedientes electrónicos); 4) Obtención de la “constancia”. No obstante, estos pasos han producido complejidades técnicas y una ineficaz implementación. Por otra parte, el anteproyecto de modificación de la regulación vigente está planteado de acuerdo a la factibilidad técnica de la comprobación del cumplimiento y la existencia de infraestructura técnica para la evaluación de la conformidad, en términos de lo establecido en el artículo 32 del Reglamento de la LFMN. En consecuencia, se identificaron tres vertientes a partir de las cuales se va a atender la problemática planteada: • Simplificar y robustecer el proceso mediante el uso de estampas de tiempo electrónicas de acuerdo a la especificación internacional RFC 3161. Las estampas permitirán, en primera instancia, asegurar la información electrónica por periodos de hasta 10 años. • En caso de que se requiera asegurar la información por un periodo mayor a diez años, se propone un proceso que permite la prolongación de la vigencia de la estampa. • El Prestador de Servicios de Certificación contemplará la aplicación de un conjunto de operaciones de mantenimiento preventivo y comprobaciones rutinarias que permitirán garantizar mediante su cumplimiento que, en todo momento, el estado de la aplicación de digitalización y los dispositivos asociados producirán archivos electrónicos fieles al documento en soporte físico, que deberá reflejar en un Plan de Gestión de Calidad, mismo que describirá el mantenimiento de los procedimientos y dispositivos asociados, en su caso, la aplicación de digitalización, así como otros aspectos que puedan afectar al propio software tales como, el seguimiento de la vigencia de las normas y algoritmos empleados, o aspectos de mantenimiento de los sistemas operativos que pudieran afectar al rendimiento de la aplicación de digitalización, u otros de naturaleza analógica.

Apartado II.- Identificación de las posibles alternativas a la regulación

4. Señale y compare las alternativas con que se podría resolver la problemática que fueron evaluadas, incluyendo la opción de no emitir la regulación. Asimismo, indique para cada una de las alternativas consideradas una estimación de los costos y beneficios que implicaría su instrumentación:

Alternativas^#1* No emitir regulación alguna Descripción de las alternativas y estimación de los costos y beneficios^#1* Esta alternativa no resulta viable ya que implica dejar de reconocer el riesgo existente de que la norma vigente no considere, totalmente, las especificaciones de seguridad en el tiempo con las cuales deben cumplir los comerciantes que, conforme a lo establecido en los artículos 33, 38, y 49 del Código de Comercio, conserven mensajes de datos conforme a su definición en el artículo 89 del mismo Código, así como los requisitos a cumplir en la digitalización de toda o parte de la documentación relacionada con sus negocios en soporte papel a un mensaje de datos.
Alternativas^#2* Esquemas de autorregulación Descripción de las alternativas y estimación de los costos y beneficios^#2* Se evaluó la alternativa de desarrollar esquemas de autoregulación, sin embargo, se concluyó que la alternativa tampoco es viable ya que los programas de autorregulación y difusión por si solos no previenen la aparición de riesgos, ni otorgan seguridad jurídica, aspectos que si son cubiertos a través de una Norma Oficial Mexicana.
Alternativas^#3* Esquemas voluntarios Descripción de las alternativas y estimación de los costos y beneficios^#3* Actualmente existen normas mexicanas que toman como base lineamientos y normas internaciones, que se ocupan de aspectos diversos e inherentes a la conservación de mensajes de datos y la digitalización de documentos. No obstante lo anterior, una de las múltiples características que distinguen a las normas mexicana es su carácter voluntario, mismo que resulta insuficiente cuando lo que se busca es brindar un nivel de seguridad adecuado a la conservación de mensajes de datos y digitalziación de documentos, y que de no gestionarse adecuadamente ese riesgo, puede afectar negativametne la actividad económica y la seguridad de las personas. Por ende, es necesario establecer un régimen mínimo obligatorio que permita atenuar el riesgo en la seguridad de los usuarios, a partir de los principios de seguridad que se señalan en los lineamientos internacionales (como lo es el RFC 3161) en materia de conservación de mensajes de datos y digitalización de documentos. El costo de implementar esta alternativa depende totalmente del número de comerciantes que decidieran voluntariamente sujetarse a las normas mexicanas, al ser éstas disposiciones de carácter voluntario no se tiene certeza del número de empresarios que estarían dispuestos a cumplir con las especificaciones de seguridad que las normas mexicanas señalan.
Alternativas^#4* Incentivos económicos Descripción de las alternativas y estimación de los costos y beneficios^#4* Los incentivos económicos no representan una alternativa viable, debido a que la problemática planteada en la presente MIR, no se relaciona con la capacidad económica de los comerciantes, ya que lo que se busca mediante una Norma Oficial Mexicana es atender un riesgo, para que el consumidor no se vea afectado.
Alternativas^#5* Otro tipo de regulación Descripción de las alternativas y estimación de los costos y beneficios^#5* No implica una alternativa con la que se pueda resolver la problemática planteada, toda vez que es indispensable contar con un mecanismo jurÍdico que permita garantizar que los comerciantes lleven a cabo la conservación de mensajes de datos y la digitalización de documentos con estandares de seguridad en el tiempo.
Alternativas^#6* Otras Descripción de las alternativas y estimación de los costos y beneficios^#6* NA

5. Justifique las razones por las que la regulación propuesta es considerada la mejor opción para atender la problemática señalada: *

La alternativa viable es establecer un referente normativo obligatorio que sea congruente con los estándares y lineamientos internacionales en el tema de la conservación de mensajes de datos y la digitalización de documentos. La norma que nos ocupa ha sido aplicada como Norma Oficial Mexicana por más de diez años, durante los cuales se ha detectado que si bien la regulación actual ofrece cierto nivel de certidumbre en la conservación de mensajes de datos y la digitalización de documentos, aún se observa que existen riesgos sin atender, ya que no se contempla la actualización durante el periodo de vida de la constancia de los elementos de seguridad electrónica, lo que provoca que las mimas se vuelvan vulnerables con el paso del tiempo. Lo anterior demuestra la necesidad apremiante de mantener actualizado nuestro esquema regulatorio, circunstancia que busca corregirse a partir de la modificación que se propone a la norma vigente.

6. Describa la forma en que la problemática se encuentra regulada en otros países y/o las buenas prácticas internacionales en esa materia: *

Signatures (CAdES), PDF Advanced Electronic Signature Profiles (PAdES) y XML Advanced Electronic Signatures (XAdES), definen varios de formatos de firma electrónica, incluyendo firmas electrónicas que pueden permanecer válidas durante períodos largos. Esto incluye evidencia en cuanto a su validez, incluso si el firmante o terceras partes verificadoras posteriormente intentan negar (repudiar) la validez de la firma electrónica en un mensaje de datos. CAdES especifica el uso de proveedores de servicios de confianza (por ejemplo, autoridades de sellado de tiempo) y datos que necesitan ser archivados (por ejemplo, certificados cruzados y listas de revocación) para satisfacer los requisitos de firmas electrónicas a largo plazo. CAdES también especifica el uso de estampado de tiempo y servicios de marcas de tiempo para probar la validez de una firma mucho tiempo después del curso de la vida útil de los elementos críticos de una firma electrónica. También, de forma opcional, define la manera de proporcionar a muy largo plazo la protección contra el compromiso de claves o algoritmos débiles. PAdES se puede usar para cualquier documento codificado en un formato de documento portátil (PDF) producido por un individuo y una empresa, e intercambiado entre empresas, entre un individuo y un organismo gubernamental, etc. PAdES apoya la firma electrónica especificada en la norma ISO 32000-1 para incluir las características mejoradas de la firma electrónica avanzada. Incluye características equivalentes a las especificadas en TS 101 733 (CAdES) y TS 101 903 (XAdES) e incluyen soporte para la validación de los documentos firmados y almacenados durante períodos largos. XAdES especifica definiciones del esquema XML para nuevos tipos XML que se pueden utilizar para generar propiedades que adicionalmente clasifican firmas XMLDSIG con información capaz de cumplir una serie de requisitos comunes, tales como la validez a largo plazo de la firma con el uso de sellos de tiempo, etc. XAdES especifica los formatos XML para la firma electrónica avanzada que, mediante el uso de los nuevos tipos XML especificados, permanece válida durante períodos largos e incorpora información adicional útil en casos de uso comunes.

Apartado III.- Impacto de la regulación

A. Análisis de Riesgos:

7. Indique los riesgos que buscan ser mitigados o prevenidos con la aplicación de la regulación, como puede ser en materia de salud humana, animal o vegetal, seguridad, seguridad laboral, seguridad alimentaria, medio ambiente o protección a los consumidores. Asimismo, indique la población o industria potencialmente afectada y su magnitud, el tipo de riesgo, afectación o daño probable, el origen y área geográfica del riesgo, la probabilidad de ocurrencia del mismo y la categoría en que se ubica (aceptable, bajo, moderado, alto o catastrófico):

Tipos de riesgo que motivan la emisión de la regulación^#1* Población, grupo industria potencialmente afectada. Salud animal o vegetal^#1* NA Laboral^#1* NA Salud humana^#1* NA Medio ambiente^#1* NA Consumidores o economía^#1* Falsificación de datos personales, fraudes, estafas, extorsión. Seguridad^#1* NA
Tipos de riesgo que motivan la emisión de la regulación^#2* Origen y área geográfica de riesgo. Salud animal o vegetal^#2* NA Laboral^#2* NA Salud humana^#2* NA Medio ambiente^#2* NA Consumidores o economía^#2* Comerciantes y consumidores en general. Seguridad^#2* NA
Tipos de riesgo que motivan la emisión de la regulación^#3* Alto. Salud animal o vegetal^#3* NA Laboral^#3* NA Salud humana^#3* NA Medio ambiente^#3* NA Consumidores o economía^#3* Territorio de los Estados Unidos Mexicanos Seguridad^#3* NA
Tipos de riesgo que motivan la emisión de la regulación^#4* Tipos de riesgo, afectación o daño probable (enfermedades, fallecimientos, accidentes, daños ambientales, afectaciones económicas, etc.) y su magnitud. Salud animal o vegetal^#4* NA Laboral^#4* NA Salud humana^#4* NA Medio ambiente^#4* NA Consumidores o economía^#4* ALTO Seguridad^#4* NA
Salud animal o vegetal^#5* NA Laboral^#5* NA Salud humana^#5* NA Medio ambiente^#5* NA Consumidores o economía^#5* Con la norma propuesta se busca que los comerciantes y consumidores tengan la certeza de que sus datos cuentan con las medidas de seguridad acorde a los riesgos informáticos que enfrentan. En consecuencia, dado que la NOM-151-SCFI vigente no atiende cabalmente los riesgos asociados a la conservación de mensajes de datos y digitalización de documentos y, por ende, aumenta la probabilidad de ocurrencia de una posible afectación al patrimonio y seguridad de los consumidores, la norma propuesta incrementa el nivel de seguridad, mediante la atención de riesgos inherentes a la conservación y digitalización de datos a lo largo del tiempo, esto a través del establecimiento de requisitos generales de seguridad, los cuales están basados en lineamientos y protocolos internacionales. Seguridad^#5* Tipos de riesgo que motivan la emisión de la regulación^#5

8. Indique las acciones regulatorias, obligaciones, requisitos, especificaciones técnicas, certificaciones, esquemas de supervisión o inspección o cualquier otra medida aplicable a cada uno de los riesgos antes identificados, como consecuencia de la implementación de la regulación, así como algún indicador (estadísticas, estimaciones, etc.) que permita dimensionar la situación actual y medir su evolución en el tiempo. Asimismo, justifique la forma en que considera que estas acciones permitirán reducir, mitigar o atenuar el riesgo correspondiente:

Tipo de riesgo^#1* Otros riesgos o afectaciones potenciales (especifique) Grupo, sector o población sujeta al riesgo^#1* Comerciantes y consumidores en general. Acción implementada^#1* Se modifican los principios de seguridad aplicables a la conservación de mensajes de datos y digitalización de documentos, además de establecer los métodos de prueba que deben cumplir los comerciantes, tomando como base las actualizaciones de los protocolos internacionales. Justificación de cómo se reduce, mitiga o atenúa el riesgo con la acción^#1* Las disposiciones contenidas en la regulación propuesta buscan adecuar el nivel de seguridad en la conservación de mensajes de datos y digitalización de documentos acorde con los riesgos reconocidos por los lineamientos y protocolos internacionales aplicables al objeto del anteproyecto. Si bien la regulación actual ofrece cierto nivel de seguridad, aún se observa que existen riesgos sin atender, por ende, la norma propuesta incrementa el nivel de seguridad en la conservación de mensajes de datos y digitalización de documentos, mediante la atención del riesgo inherente a dichos procesos, esto a través del establecimiento de requisitos generales de seguridad. Indicador de impacto^#1* De los incidentes cibernéticos denunciados en 2013, aproximadamente 39% fueron contra instituciones académicas, 31% contra instituciones gubernamentales, 26% a entidades del sector privado y 4% a otras entidades Situación esperada con la implementación de la regulación^#1* A partir de la entrada en vigor de la norma propuesta se adecuarían las medidas de seguridad, de forma tal que enfrenten los riesgos a los que están expuestos actualmente la conservación de mensajes de datos y la digitalización de documentos, ya que la falta de actualización de las medidas de seguridad puede derivar en la pérdida de información y causar un daño en el patrimonio de los consumidores y comerciantes e incluso poner en riesgo su seguridad.

9. Señale, en su caso, el grupo o sector específico en el que existen riesgos que varían en magnitud de acuerdo con el sujeto, objeto o situación en el que se presentan:

9.1Para determinados grupos o sectores específicos, ¿existen riesgos que varían en magnitud dependiendo del sujeto, objeto o situación en el que se presentan?:

9.2 En caso afirmativo, ¿se justifica la necesidad de establecer medidas regulatorias similares?:

9.3 En cualquier caso, indique ¿por qué?:

Ninguno

9.4 De ser el caso, ordene dichos riesgos del mayor al menor y señale si puede ser aplicable una propuesta en la que se apliquen medidas diferenciadas para administrar cada nivel de riesgo aplicable:

Medida aplicada para la administración del riesgo^#1* No Aplica Grupo, sector o población sujeta al riesgo^#1* Riesgo identificado (ordenados del mayor al menor)^#1*

10.1 ¿Se identifica la aparición de nuevos riesgos como resultado de las medidas aplicadas para la mitigación de los riesgos que forman parte de la problemática inicial?:

10.2 En caso de ser afirmativa, indique cuáles son estos riesgos, así como el grupo, sector o población afectada por ellos y una justificación de cómo estos son mayores o menores a los que pretenden ser atendidos con la regulación:

Riesgo identificado^#1* Grupo, sector o población sujeta al riesgo^#1* Justifique si son mayores o menores a los que son atendidos con la regulación^#1*

B. Análisis de Cargas Administrativas:

11. ¿La regulación propuesta crea, modifica o elimina trámites?:

Accion^#1* No Aplica Tipo^#1* Vigencia^#1* Medio de presentación^#1* Requisitos^#1* Población a la que impacta^#1* Plazo^#1* Justificación^#1* Ficta^#1* Homoclave^#1 Nombre del trámite^#1* Homoclave^#1*

C. Análisis de Acciones Regulatorias:

12. Seleccione las disposiciones, obligaciones y/o acciones distintas a los trámites y a aquellas que restrinjan la competencia o promuevan la eficiencia en el mercado, así como a las que atienden o mitigan una situación de riesgo, que correspondan a la propuesta:

Disposiciones en materia^#1* Establecen obligaciones Artículos aplicables^#1* 4.1, 4.4, 5.1 Justificación^#1* Se modifican los numerales 4.1, 4.4. y 5.1 en el presente anteproyecto, esto con el objetivo de estar en concordancia con lo establecido en los protocolos internacionales de seguridad como son el RFC 3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) y RFC 5816 ESSCertlDv2 Update for RFC 1361, mismos que establecen que la seguridad en la conservación de los mensajes de datos y digitalización de documentos debe ser a lo largo del tiempo, las herramientas consideradas tienen, entre otras cualidades, la de permitir una renovación de la vigencia más allá de 10 años. Así mismo, en el Apéndice 7 y 8 se describen los requisitos que se deben de seguir para la obtención de la Constancia Conservación de Mensajes de Datos y Digitalización de Documentos en Soporte Físico, respectivamente.
Disposiciones en materia^#2* Establecen obligaciones Artículos aplicables^#2* Apartado 4 Disposiciones Aplicables se actualizan los numerales 4.1, Apéndices 7 y 8 Justificación^#2* Se establece los métodos que deben observar los comerciantes para conservar los mensajes de datos, así como para la digitalización de toda o parte de la documentación en soporte físico relacionada con sus negocios, mismo que se describen en los apéndices 7 y 8. Lo anterior, con el objetivo de mejorar los protocolos de seguridad en la materia de la presente norma. la aplicación de normas específicas (normas mexicanas) que se encuentren armonizadas con normas y lineamientos internacionales, según el nivel de riesgo del producto en particular, esto con el objetivo de que cada producto tenga una regulación en específico que regule las particularidades de este.
Disposiciones en materia^#3* Otras Artículos aplicables^#3* Aparatado 3 Definiciones Justificación^#3* Se establecen las definiciones de aquellos conceptos que se utilizarán a lo largo del texto de la norma. El objetivo de esta acción regulatoria es delimitar claramente lo que se entiende por cada uno de los conceptos utilizados en la regulación, con el propósito de facilitar la aplicación de la norma.

D. Análisis de Impacto en la Competencia:

13. Justifique las Acciones Regulatorias que restringen o promueven la competencia o eficiencia del mercado:

Identifique la acción seleccionada de la lista de verificación de impacto competitivo^#1* Establece normas o reglas de calidad para los productos o servicios y requisitos técnicos Indique la Acción o mecanismo regulatorio que considera podría restringir o promover la competencia y el(os) artículo(s) de la propuesta regulatoria aplicables^#1* La entrada en vigor de la presente norma provocará que se mantenga un nivel general de seguridad en la conservación de mensajes de datos y digitalización de documentos, lo que brindará certidumbre a las transacciones comerciales, promoviendo su agilidad y reduciendo los costos de transacción de las empresas. Lo anterior, incrementa la eficiencia en las operaciones de las empresas y mejora su productividad. Por su parte, aquellas empresas que no implementen los requerimientos señalados en la norma, pueden enfrenten problemas con el manejo de sus datos, haciéndose ineficientes perdiendo competitividad en el mercado y, eventualmente, salir del mismo; si lo anterior sucede, se tendrán en el mercado aquellas empresas más eficientes. Artículos aplicables^#1* Los numerales 4.1, 4.4, 5.1, apéndices 7 y 8 Describa cómo esta acción puede restringir (limitar) o promover la competencia o eficiencia del mercado^#1* Los efectos de la regulación se reflejarán en una mejora de los protocolos de seguridad en la conservación de mensajes de datos y digitalización de documentos a lo largo del tiempo y que por Ley están obligados a realizar los comerciantes, lo que brinda mayor certidumbre en las transacciones comerciales, haciendo más eficiente los mercados y agilizando el sistema económico. Actualmente, la NOM-155-SCFI-2002 no considera la actualización durante el periodo de vida de la constancia de los elementos de seguridad electrónica (algoritmos, longitudes de claves, etc.) lo que provoca que sean vulnerables a lo largo del tiempo. El presente anteproyecto, establece protocolos de seguridad electrónica generales para todos los comerciantes, para evitar la pérdida de información y delitos cibernéticos. Con ello, se fortalecen los elementos de seguridad electrónica, disminuyendo los riesgos de fraudes, pérdida de información, extorsión, etc.; delitos que están vinculados al hackeo de sistemas de conservación de datos y digitalización de documentos. En consecuencia, se tendrá un sistema de manejo de la información con protocolos de seguridad adecuados y que podrán actualizarse a lo largo del tiempo, brindando certidumbre a todos los agentes económicos en las transacciones comerciales y eficientando sistema económico en general. Justifique la necesidad de inclusión de la acción^#1* La falta de actualización durante el periodo de vida de la constancia de los elementos de seguridad electrónica en la conservación de mensajes de datos y digitalización de documentos que considera la NOM-151-SCFI-2002 provoca vulnerabilidad con el paso del tiempo ante posibles delitos cibernéticos. Por ende, la modernización de la regulación nacional, para asegurar la integridad y autenticidad de mensajes de datos por periodos prolongados de tiempo respecto a protocolos internacionales, permitirá mejorar el nivel en los elementos de seguridad electrónica de las constancias de la conservación de mensajes de datos y digitalización de documentos. ¿Se consideró alguna otra alternativa regulatoria respecto de la acción o mecanismo regulatorio que se analiza? Señale cuál fue ésta y justifique porqué es mejor la alternativa elegida^#1* Se analizaron alternativas de carácter voluntario y esquemas de autorregulación, sin embargo, dichos mecanismos no son adecuados para mitigar el riesgo que se justifica en la presente MIR, por ende, los agentes económicos se encontrarían vulnerable a falta de un ordenamiento jurídico eficiente y actualizado que regule los elementos de seguridad electrónica en la conservación de mensajes de datos y digitalización de documentos. ¿Establece procedimientos de obtención de licencias, permisos o autorizaciones como requisito para iniciar operaciones, o bien iniciar alguna actividad adicional?^#1

E. Análisis Costo-Beneficio:

14. Proporcione la estimación de los costos que supone la regulación para cada particular, grupo de particulares o industria:

Años^#1 Para mayor detalle véase anexo II Costo unitario^#1* $ 16,407,614 dólares Número de años^#1 1 Agentes económicos^#1* 4,230,745 Costo Anual^#1* $16,407,614 dólares americanos. Indique el grupo o industria afectados^#1* Todos los comerciantes que conserven mensajes de datos y/o digitalicen documentos en términos de lo dispuesto en los artículos 33, 38, y 49 del Código de Comercio. Describa de manera general los costos que implica la regulación propuesta^#1* El costo que va a generar el presente proyecto se puede estimar a partir de la cuantificación de la obtención del certificado de cumplimiento que avala y permite que los comerciantes conserven mensajes de datos y/o digitalicen documentos conforme a la norma. Por ende, según con lo establecido en el artículo 73 de la Ley Federal sobre Metrología y Normalización (LFMN), los comerciantes tendrán la necesidad de volver obtener su certificado de cumplimiento de la NOM-0151-SCFI una vez que el período de vigencia de su actual certificado fenezca. Cabe destacar que en la actualidad el período más común de renovación del certificado de cumplimiento es anual. Proporcione la estimación monetizada de los costos que implica la regulación^#1* De acuerdo con lo expuesto anteriormente, el primer paso para dar cumplimiento a lo establecido en el apartado de evaluación de la conformidad de la NOM-151-SCFI, es obtener el certificado que evalué el cumplimiento de las especificaciones establecidas en la norma. Para el año 2013, se estima que el número de certificados de conservación de mensajes de datos fue de 56,474,711 y de digitalización de documentos de 56,731,179, mismos que tiene un costo promedio de $1.85. Derivado de lo anterior el costo para 2014 fue de $209,525,235. Para efectos de equiparar las unidades monetarias con el beneficio, se convierte a dólares el costo mencionado, a un tipo de cambio diario promedio de 2013, por lo que se estima un costo de 16,407,614 dólares americanos. Costo Total(Valor Presente)^#1* Para mayor detalle véase anexo II Señale la tasa de descuento^#1 Periodo de análisis^#1 Costo Total para el periodo^#1

15. Proporcione la estimación de los beneficios que supone la regulación para cada particular, grupo de particulares o industria:

Beneficio unitario^#1* $ 780,000,000 dólares americanos Años^#1 1 Número de años^#1 Para mayor detalle véase anexo II Beneficio Anual^#1* 780,000,000 dólares americanos Agentes económicos^#1* 4,230,745 Indique el grupo o industria beneficiados^#1* Los comerciantes y consumidores de los Estados Unidos Mexicanos. Describa de manera general los beneficios que implica la regulación propuesta^#1* A partir de la entrada en vigor del ordenamiento jurídico propuesto, los efectos de la regulación se reflejarán en una mejora de los protocolos de seguridad en la conservación de mensajes de datos y digitalización de documentos a lo largo del tiempo y que por Ley están obligados a realizar los comerciantes. Lo cual, permitirá mitigar el riesgo de sufrir un algún tipo de delito cibernético, tanto a comerciantes como a los consumidores, derivado de alguna deficiencia en los protocolos de seguridad. Por ende, el presente proyecto de norma contempla la inclusión de una mejora en los protocolos de seguridad, los cuales no están considerados en la regulación vigente. Con la inclusión de estos protocolos de seguridad se pretende reducir la probabilidad de que un comerciante o consumidor sufra una pérdida en su patrimonio o sus datos personales. Proporcione la estimación monetizada de los beneficios que implica la regulación^#1* Cabe destacar que entre los delitos cibernéticos en México, consecuencia de una falta de actualización de los protocolos de seguridad de los datos electrónicos, se tienen los siguientes: malware, phishing, hackeos y las intrusiones al sistema . Derivado de esos riesgos, el consumidor o comerciante puede ser víctima de fraude, robo de identidad y patrimonial. En este sentido, y dado que no se cuentan con datos de una fuente oficial del gobierno mexicano sobre el impacto monetario derivado de los delitos cibernéticos, los beneficios de la regulación propuesta se obtuvieron del estudio que realizó la Organización de los Estados Americanos y Symantec, en el cual identificaron que las perdidas monetarias derivadas de diversos delitos cibernéticos en 2013 asciende a 780,000,000 de dólares americanos. Por anterior, al mejorar los protocolos de seguridad se puede reducir dicha pérdida monetaria, lo que se traduce en beneficios para los comerciantes y consumidores. Beneficio Total (Valor Presente)^#1* Para mayor detalle véase anexo II Señale la tasa de descuento^#1 Periodo de análisis^#1 Costo Total para el periodo^#1

16. Justifique que los beneficios de la regulación son superiores a sus costos: *

Costo total: 16,407,614 dólares americanos Beneficio Total: 780,000,000 dólares americanos Beneficio Neto: 763,592,385 dólares americanos Como puede observarse en el análisis costo-beneficio, presentado en las preguntas 14 y 15, el costo total derivado de la entrada en vigor de la presenta norma ascienden a $ 16,407,614 dólares americanos cantidad que se ve superada por los beneficios económicos de la regulación, los cuales ascienden a los $ 780,000,000 dólares americanos.

F. Otros Impactos:

17. ¿La propuesta de regulación contempla esquemas que impactan de manera diferenciada a sectores, industria o agentes económicos? (Por ejemplo, a las micro, pequeñas y medianas empresas):

No, al proponerse una Norma Oficial Mexicana vigente se emite una regulación técnica de observancia obligatoria donde los impactos son los mismos para cada uno de los sectores y/o agentes económicos sujetos a ésta. El anteproyecto propuesto establece protocolos de seguridad generales, que permitan prever los elementos necesarios para que las constancias de conservación de mensajes de datos y digitalización de documentos permanezcan seguras a lo largo del tiempo.

Apartado IV. Cumplimiento y aplicación de la propuesta

18. Describa la forma y/o los mecanismos a través de los cuales se implementará la regulación (incluya recursos públicos): *

Para asegurar la implementación del anteproyecto, no se requieren recursos públicos adicionales a los ya asignados a la Secretaría de Economía, ya que se debe considerar que ésta es la instancia con la autoridad competente para vigilar el cumplimiento de las Normas Oficiales Mexicanas y ésta actualmente cuenta con la infraestructura y los medios para llevar a cabo actividades de verificación relativa al cumplimiento de Normas Oficiales Mexicanas.

19. Describa los esquemas de inspección, verificación, vigilancia, certificación, acreditación y sanciones que se aplicarán para garantizar el cumplimiento de la regulación:

El proyecto no establece un esquema de sanciones específico, los esquemas de verificación y vigilancia se enmarcan en el sistema establecido en la Ley Federal de Protección al Consumidor, su Reglamento, la Ley Federal de Metrología y Normalización y su Reglamento.

19.1 Precise los resultados esperados de la aplicación de dichos esquemas y mecanismos:

19.3 Presente los indicadores y estadísticas como el número de verificaciones, las sanciones aplicadas, organismos de certificación, unidades de verificación, terceros autorizados y recursos interpuestos contra la regulación implementada, con los que se pretende dar seguimiento a la regulación propuesta:

Se considera que a partir de la entrada en vigor del presente anteproyecto se pueda ir generando cierta información que permita visualizar un amplio panorama de la mitigación del riesgo regulado, sin embargo, para poder contar con información estadística desagregada que permita realizar una evaluación precisa sobre los delitos cibernéticos focalizados en la conservación de mensajes de datos y digitalización de documentos ante la en vigor de la norma propuesta. Por ello, es necesario mantener una estrecha comunicación con la división de la Policía Cibernética, a fin de que generé dicha información estadística.

19.2 ¿Estos esquemas se aplicarán de la misma manera para todos los sujetos y materias reguladas o se prevén una aplicación diferenciada en función de los riesgos que se están regulando?:

Apartado V. Evaluación de la propuesta

20. Describa la forma y los medios a través de los cuales se evaluará el logro de los objetivos de la regulación: *

En virtud de que en México no se cuenta con información estadística que relacione directamente el número de incidentes con la conservación de mensajes de datos y digitalización de documentos, una forma viable de evaluar los objetivos es a través de estudios y estadísticas que realice la Policía Cibernética y las empresas dedicadas a la seguridad informática (Intel, Symantec, Norton, etc.), así como las organizaciones empresariales (CANACINTRA, CCE, etc.) y organizaciones no gubernamentales (Asación Mexicana de Internet) sobre el número de incidentes relacionados la integridad y autenticidad de mensajes de datos.

Apartado VI. Consulta pública

21. ¿Se consultó a las partes y/o grupos interesados para la elaboración de la regulación?: *

Mecanismo mediante el cual se realizó la consulta^#1* Formación de grupo de trabajo / comité técnico para la elaboración conjunta del anteproyecto Señale el nombre del particular o el grupo interesado^#1* Se realizó un grupo de trabajo correspondiente a la elaboración del proyecto NOM-0151-SCFI, el cual contó con la participación de diferentes cámaras empresariales, empresas relacionadas con la seguridad de información electrónica, bancos comerciales y de inversión, Banco de México y la representación de la Secretaría de Economía a través de la Dirección de Normatividad Mercantil. Describa brevemente la opinión del particular o grupo interesado^#1* A partir del grupo de trabajo se generó la aportación y discusión de los diferentes numerales que comprenden el presente proyecto, originando un consenso de criterios entre los integrantes del grupo.

22. Indique las propuestas que se incluyeron en la regulación como resultado de las consultas realizadas: *

Se evaluó la implementación de diversos protocolos de seguridad; sin embargo, una vez que el grupo de trabajo llevo a cabo el análisis de los mismos, se decidió por el que se actualmente está incluido en la norma. Asimismo, los esquemas voluntarios y de autorregulación, no fueron considerados ya que es indispensable contar con un mecanismo jurÍdico que permita garantizar que los comerciantes mejoren los protocolos de seguridad relacionados con la conservación de mensajes de datos y digitalización de documentos y que están armonizados con las especificaciones tecnicas que establecen las normas y linemianetos internacionales.

Apartado VII. Anexos

Archivo que contiene la regulación:

20151120185004_39200_ANEXO III UNIDADES ECONÓMICAS (DENUE).xlsx

20151120185004_39200_ANEXO IV ANALISIS DE COSTO BENEFICIO.xlsx

20151120185004_39200_ANEXO V ANALISIS DE COSTO INTERNET.xlsx

20151120185004_39200_ANEXO VI TENDENCIAS DE SEGURIDAD CIBERNETICA EN AMERICA LATINA Y EL CARIBE.pdf

20151120185005_39200_ANEXO VII SUPUESTOS DE EXCEPCION NOM 151.doc

20151120185222_39200_ANEXO II MIR NOM-151.doc

Manual

COMISIÓN NACIONAL DE MEJORA REGULATORIA

Reporte de fallas o problemas técnicos a: soportetics@conamer.gob.mx

Calle Frontera 16, Colonia Roma Norte, Alcaldía Cuauhtémoc, 06700 Ciudad de México
Tel. (55) 5629-9500 ext. 22602.
Aviso de Privacidad

Sistema de Manifestación de Impacto Regulatorio

MIR de alto impacto con análisis de impacto en la competencia y análisis de riesgos

Indique el (los) supuesto (s) de calidad para la emisión de regulación en términos del artículo 3 del Acuerdo de Calidad Regulatoria.

Confirmar cuenta