Los factores de autenticación que podrán utilizar las Administradoras para verificar los datos e información de los Trabajadores y, en su caso, de los Beneficiarios, deberán ser de cualquiera de las siguientes categorías, dependiendo del Medio Electrónico de que se trate:
I. Factor de autenticación categoría 1: Se compone de información obtenida mediante la aplicación de
cuestionarios al Trabajador, por parte de operadores telefónicos, en los cuales se requieran datos que el Trabajador conozca. En ningún caso los factores de autenticación de esta categoría podrán componerse únicamente de datos que hayan sido incluidos en comunicaciones impresas o electrónicas enviadas por las Administradoras a los Trabajadores.
Los Participantes en los Sistemas de Ahorro para el Retiro que hagan uso del factor de autenticación categoría 1, deberán observar lo siguiente:
a. Definir previamente los cuestionarios que serán practicados por los operadores telefónicos, impidiendo que sean utilizados de forma discrecional, y
b. Validar al menos una de las respuestas proporcionadas por los Trabajadores, a través de herramientas informáticas, sin que el operador pueda consultar o conocer anticipadamente los datos de Autenticación de los Trabajadores.
II. Factor de autenticación categoría 2: Se compone de información que solo el Trabajador conoce, tales como
contraseñas y números de identificación personal, las cuales ingresa a través de un Medio Electrónico. Los factores de autenticación que se utilicen, deberán cumplir con las características siguientes:
a. En ningún caso se podrá utilizar la información siguiente: i. Los datos personales del Trabajador;
ii. El nombre de la Administradora;
iii. Más de dos caracteres idénticos en forma consecutiva, y iv. Más de dos caracteres consecutivos numéricos o alfabéticos; b. Su longitud deberá ser de al menos seis caracteres, y
c. La composición de estos factores de autenticación deberá incluir caracteres alfabéticos y numéricos, cuando el Medio Electrónico lo permita.
Las Administradoras deberán permitir al Trabajador cambiar sus contraseñas, números de identificación personal y cualquier otra información de autenticación estática, cuando este último así lo requiera.
Para la operación del E-SAR, las Empresas Operadoras deberán implementar el uso del Factor de autenticación categoría 2, para garantizar el acceso a los servicios que se especifican en las presentes disposiciones de carácter general y en el Manual de Procedimientos Transaccionales182
;
III. Factor de autenticación categoría 3: Se compone de información contenida o generada por Medios
Electrónicos, así como de información obtenida a través la aplicación informática móvil que desarrollen las Empresas Operadoras, así como mediante dispositivos generadores de contraseñas dinámicas de un solo uso. Dichos medios o dispositivos deberán ser proporcionados por las Administradoras o Empresas Operadoras a los Trabajadores y la información contenida o generada por ellos, deberá cumplir con las características siguientes:
a. Contar con propiedades que impidan su duplicación o alteración;
b. Ser información dinámica que no podrá ser utilizada en más de una ocasión;
c. No ser conocida con anterioridad a su generación y a su uso por los Agentes Promotores, así como cualquier empleado directo o indirecto de la Administradora, Empresas Operadoras o por terceros; La Comisión establecerá los lineamientos que deberán seguir las Administradoras y las Empresas Operadoras para el uso y aplicación del presente Factor de autenticación.
Las Empresas Operadoras o Administradoras deberán proporcionar a los Trabajadores la aplicación informática móvil que genere contraseñas emitidas por las Empresas Operadoras. Dichas contraseñas requieren asociarse a un teléfono celular y cualquier otra información relacionada con el tipo de operación o servicio de que se trate, de manera que dicha contraseña únicamente pueda ser utilizada para la operación solicitada.
Para tal efecto, las Empresas Operadoras deberán:
a. Desarrollar una plataforma tecnológica independiente con dos motores generadores de contraseñas, a fin de que la aplicación informática móvil tenga la capacidad de seguir operando en caso de que un generador de contraseñas salga del proceso;
b. Firmar por separado un contrato con el desarrollador de la aplicación informática móvil y los dos generadores de contraseñas para garantizar una completa autonomía en la administración y control de seguridad por parte de la Empresa Operadora;
c. Desarrollar la Aplicación Móvil para que tenga por lo menos dos software development kit. La Empresa Operadora deberá ser la única con los derechos de propiedad del código de las contraseñas y de la administración de la Aplicación Móvil. Asimismo, la Empresa Operadora será responsable de la administración de la seguridad de las contraseñas generadas por la Aplicación Móvil.
Además de lo anterior, la Comisión podrá establecer lineamientos adicionales que deberán seguir las Administradoras y las Empresas Operadoras para el uso y aplicación del presente Factor de autenticación.
Las Empresas Operadoras deberán prestar a las Administradoras el servicio, a través del cual, utilizando la Aplicación Móvil, se notifique al Trabajador sobre la recepción del Estado de Cuenta, las aportaciones, disposiciones y retiros realizados a la Cuenta Individual del Trabajador, así como el resultado de los servicios solicitados por el Trabajador en la Administradora, de igual forma, les hagan llegar mensajes sobre la importancia de ahorrar e información sobre los requisitos, plazos y toda aquella que se requiera para tomar una decisión informada relacionada con los Sistemas de Ahorro para el Retiro. Dichas notificaciones y mensajes deberán adecuarse a los formatos que para tal efecto les notifique la Comisión. Las Empresas Operadoras deberán habilitar la Aplicación Móvil, para que las Administradoras puedan brindar a sus Trabajadores el servicio de citas para que el Trabajador acuda por su constancia sobre implicaciones de Traspaso, en caso de así requerirlo y procedimientos electrónicos más sencillos para realizar Aportaciones Voluntarias; de igual forma les hagan llegar a los Trabajadores aplicaciones interactivas impulsando el ahorro. Asimismo, las Empresas Operadoras deberán habilitar la opción para generar contraseñas para autorizar y firma servicios independientes de la Aplicación Móvil, cuando las Administradoras así lo requieran.
Las Empresas Operadoras deberán prestar a las Administradoras el servicio, a través del cual, utilizando la Aplicación Móvil, puedan enviar invitaciones al Trabajador para Ahorro Voluntario y Registro de Trabajadores No Afiliados o brindar servicios de consulta de Saldos de la Cuenta Individual, Actualización o Modificación de los Datos personales del Trabajador y Aplicaciones Interactivos diseñados por la Administradora.
La Empresa Operadora deberá adecuar los referidos servicios conforme a los lineamientos que deberán seguir las Administradoras y las Empresas Operadoras para el uso y aplicación de la Aplicación Móvil, establecido en el Anexo B fracción III de las presentes disposiciones de carácter general.183
En todo caso, las Empresas Operadoras y las Administradoras deberán obtener la autorización de la Comisión para operar los medios a los que se refiere la presente fracción, en cuya solicitud deberán exponer los controles que les permitirán a los Trabajadores realizar operaciones de forma segura. La Comisión contará
con un plazo de 40 días hábiles para resolver sobre las solicitudes de autorización a que se refiere este apartado.184
IV. Factor de autenticación categoría 4: Los Agentes Promotores, Agentes de Servicio o cualquier otro
empleado directo o indirecto de la Administradora, según sea el caso, deberán identificar y autenticar presencialmente al Trabajador conforme al Anexo “D” y de acuerdo con los procedimientos y controles internos que tengan establecidos, y;
V. Factor de autenticación categoría 5: Se compone de la Firma Biométrica y Firma Manuscrita Digitalizada del
Trabajador o Beneficiario, en su caso.
Las Administradoras deberán utilizar los factores de autenticación para otorgar a los Trabajadores lo servicios relacionados con la administración de su cuenta individual, de conformidad con lo previsto en las presentes disposiciones de carácter general.
ANEXO C