Art. 318. Fracc III, inciso a) Num 6.- Se recomienda que el mismo comisionista (Director General, Contralor, Riesgos, o quien sea), sea el responsable de firmar y entregar esta información; en lugar de que sea cada uno de los empleados. Art. 319 Bis. I. Recomendamos incluir transacciones sobre: • Transferencias entre cuentas propias y de terceros, tanto en la misma institución como a otras instituciones. • Pago de créditos III. Recomendamos eliminar el término “transmitir”, debido a que siempre habrá un momento en que el comisionista deba transmitir el factor de autenticación hacia la Institución, para efectos de que esta lo valide y el cliente continue con las transacciones que desea realizar. Si acaso, mencionar que la transmisión debe realizarse mediante mecanismos de cifrado. V.- Sustituir “contratar” con “pactar” VI.- Sustituir “contratar” por “pactar”. Adicionalmente, el registro de operaciones debería ser entregado por la Institución, independientemente del comisionista en donde se hayan realizado. Esto es distinto al comprobante de operación que sí debería ser emitido y entregado al cliente inmediatamente después de haberse realizado la transacción. Art. 319 Bis 3.- No necesariamente la Institución es la que debería solicitar los factores de autenticación. También podría hacerlo el mismo comisionista, siempre y cuando este nunca tenga acceso a esta información y viaje cifrada desde su captura hasta la infraestructura tecnológica de la Institución para que esta la valide. Si el cliente ya está autenticado e inició sesión con el comisionista mediante el ingreso de su Factor de Autenticación 2, consideramos que no es necesario volverlo a ingresar por cada una de las operaciones que quiera realizar. Y solamente sería necesario un segundo factor de autenticación (ya sea otro factor categoría 2, distinto al utilizado en el inicio de sesión, o un factor categoría 3), para realizar cada una de las transacciones. Art. 321, Fracc III. Se sugiere que para nuevas operaciones o nuevos comisionistas que operen bajo el mismo modelo tecnológico y operativo, no sea necesario una autorización, sino un aviso, y permitiendo su lanzamiento mientras se realiza y desahoga todo el trámite. Art. 321 Bis 1, Fracc II. Se recomienda agregar la leyenda “en su caso”, para contemplar los comisionistas digitales que no tienen módulos físicos. Art. 324, Fracc IV bis.- El artículo 324 se refiere al contenido del contrato de comisión mercantil. Por ello no se entiende la manera en que esta fracción debe instrumentarse en dicho contrato. No es posible poner este texto en ninguna cláusula del contrato, y más bien, parece una obligación que debería ir en otro artículo, pero no en un contrato. Anexo 58 I. Requerimientos de los Medios Electrónicos 5.- La información relacionada con “ubicación física de la ventanilla o medio a través del cual se ejecutó la instrucción, así como la información suficiente que permita la identificación del personal que realizó la instrucción” no aplica a comisionistas digitales, por lo que se sugiere agregar “en su caso”. Y lo mismo sucede con las APIs 6.- Se recomienda agregar que este numeral no aplica para los comisionistas digitales, ya que estos no cuentan con operadores. 7.- Se recomienda agregar que este numeral no aplica para los comisionistas digitales, ya que estos no cuentan con operadores. 8.- Se recomienda agregar que este numeral no aplica para los comisionistas digitales, ya que estos no cuentan con operadores. II. Bis Identificación de Operadores de los comisionistas de base tecnológica Se sugiere que se permita el uso de factores categoría 4 (biométricos), siempre y cuando haya un enrolamiento previo y se puedan validar adecuadamente al inicio de cada sesión. Adicionalmente, los Comisionistas deberían tener la libertad de elegir los mecanismos que mejor seleccionen conforme a sus propias políticas para enrolar y autenticar a sus propios Operadores. Y la Institución solo debe asegurarse que el Comisionista tenga plenamente identificados y monitoreados a todos sus Operadores para que puedan ser sujetos de investigación o revisión cuando sea necesario. Como reflexión final, consideramos que las reglas establecidas sobre documentos, políticas, procedimientos y control sobre usuarios de infraestructura tecnológica y operadores de los Comisionistas es sumamente restrictiva, sobre todo tomando en cuenta que, de inicio, ya existe la restricción para que los comisionistas almacenen, procesen, transmitan, etc., información personal y sensible de los clientes de las Instituciones, y la transmisión debe realizarse mediante mecanismos de cifrado con el control de llaves de la Institución. Si estas reglas se cumplen, entonces no deberían preocupar los procedimientos y políticas internos de los comisionistas para administración de sesiones, perfiles y usuarios