Requisitos para S.D. Indeval

Introducción

Indeval Institución para el Depósito de Valores, S.A. de C.V. (Indeval) despliega un papel fundamental en el mercado financiero, facilitando la custodia, administración, compensación, liquidación y transferencia de valores. Para garantizar la integridad y seguridad de estas operaciones, Indeval establece requisitos para sus participantes, quienes deben cumplir con los estándares establecidos en el Reglamento Interno y Manuales Operativos de la institución. El presente artículo resume los requisitos clave para los participantes que deseen utilizar los servicios de Indeval, así como la importancia de la evaluación de cumplimiento.

¿Que es Indeval?

S.D. Indeval Institución para el Depósito de Valores, S.A. de C.V. (Indeval) es un organismo gubernamental en cual se encarga de la custodia, administración, compensación, liquidación y transferencia mediante anotaciones en cuenta.

Indeval actúa como depositario central, lo que significa que mantiene registros electrónicos de la propiedad de valores, de instrumentos de bolsa (acciones, títulos referenciados, fibras, etc.), instrumentos de mercado (Cetes, Bonos, Udibonos y Bondes) e instrumentos extranjeros, en nombre de los inversionistas. Esto permite a los inversionistas realizar transacciones de valores de manera eficiente y segura, ya que Indeval facilita la transferencia de la propiedad de los valores de un titular a otro sin la necesidad de la entrega física de los mismos.

Por lo que las Instituciones que requieran los servicios de Indeval, deberán cumplir con los requisitos establecidos en el Reglamento Interno de Indeval, así como los Manuales y guías correspondientes.

Requisitos para la contratación de servicios

Los participantes que requieran los servicios de Indeval deben ser aquellos de conformidad con la Ley del Mercado de Valores, el Reglamento Interno de Indeval y Manuales Operativos de esta última, cuenten con el carácter de Depositantes o Emisoras. Para contratar los servicios de Indeval, los interesados deben presentar solicitudes por escrito, suscribir el contrato de adhesión proporcionado por Indeval, entregar la información requerida en el manual operativo respectivo y, en el caso de ser Depositantes, cumplir con los requisitos de seguridad informática y gestión del riesgo operacional, debiendo adjuntar un Informe de Cumplimiento emitido por un Especialista Independiente.

Este Informe de Cumplimiento deber contener:

1. El nivel de cumplimiento de cada requisito, indicando si: 1) se cumple totalmente, 2) se cumple parcialmente, o 3) no se cumple.
2. La metodología que especifique el procedimiento de evaluación utilizado.
3. Los criterios para otorgar el nivel de cumplimiento especificado en cada requisito.
4. El listado de documentos o archivos con la evidencia con base en la cual se determinó el cumplimiento de cada requisito, indicando, para cada documento, la página en donde se ubica la evidencia respectiva.
5. Las observaciones resultantes de la evaluación de cada requisito. En su caso, las acciones que el evaluador considera que la “entidad interesada” deberá realizar para cumplir con las irregularidades o incumplimientos detectados

Por lo cual IDEFI Consultores, S.C., te ofrece sus servicios de evaluación, contando con auditores certificados en los campos de COSO, ISO31000, ISO22301, ISO27001, C| CISO (Chief Information Security), LCSPC (Lead Cybersecurity Professional Certificate), ISO/IEC 22301 INTERNAL AUDITOR, CSFPC (Cyber Security Foundation Professional Certificate) y SAP. Asimismo, contando con una amplia experiencia en materia de Seguridad de Información y de Riesgo Operativo, colaborando con Instituciones financieras de renombre como Banco del Bajío, S.A., Banco Nacional de Comercio Exterior, S.N.C., FIFOMI, Banco Invex, S.A., Vector Casa de Bolsa, S.A., BanCoppel, S.A., entre otros. No lo dudes en contactar a IDEFI CONSULTORES S.C.

Además, Indeval puede solicitar documentación adicional, realizar pruebas y emitir observaciones sobre el cumplimiento de los requisitos establecidos en la Guía de Requisitos. Solo se admitirán como Depositantes aquellas personas que cumplan totalmente con los requisitos de seguridad informática y gestión del riesgo operacional, hayan solventado las deficiencias observadas por Indeval y atendido las recomendaciones del Informe de Cumplimiento.

Requisitos en Seguridad informática

Los Depositantes que deseen conectarse a la Red Financiera deben presentar un Informe de Cumplimiento emitido por un Especialista Independiente, que demuestre el cumplimiento de los requisitos de seguridad informática establecidos por Indeval. Estos requisitos incluyen:

1. Contar con un área responsable de la seguridad informática de verificar el cumplimiento de las políticas y procedimientos de seguridad informática establecidos en el Manual Operativo de Comunicaciones, Infraestructura y Seguridad (Manual).
2. Se debe tener una política para garantizar solidez en los sistemas incluyendo aspectos como:
3. Procedimientos para evaluar y prescindir de protocolos de comunicación inseguros.
4. Uso obligatorio de herramientas para detectar virus y códigos maliciosos, con actualizaciones periódicas.
5. Administración de vulnerabilidades derivadas de cambios, actualizaciones o errores en los sistemas.
6. Inhibición de la instalación de servicios y software no esencial para la operación.
7. Procedimientos para detectar y gestionar incidentes de seguridad, que aseguren su identificación, contención y la adecuada recolección y resguardo de evidencia para su notificación.
8. Auditorías de seguridad al menos cada dos años, incluyendo pruebas de penetración, el nivel de riesgo informático y un plan de trabajo para abordar riesgos críticos. Estas auditorias las deberá realizar un Especialista Independiente cumpliendo con las características del Artículo 3 BIS del Reglamento Interno de Indeval, siendo IDEFI Consultores una de las entidades acreditadas para realizarlas.
9. Seguir políticas para la implementación segura de sistemas informáticos, que consistan en: un proceso de desarrollo formal y documentado para la implementación de sistemas, además de considerar la seguridad informática en todas las etapas del desarrollo, asegurando que los componentes que brindan seguridad en los sistemas de cómputo se encuentran vigentes; realizar revisiones de forma estática y dinámica de la seguridad de los sistemas, así como, vigilar, auditar y rastrear los accesos, actividades de usuarios y todas las operaciones realizadas por los sistemas, con almacenamiento de información por al menos seis meses.
10. Contar con un manejo seguro de la información electrónica, considerando:  procedimientos para eliminar de forma segura la información de los dispositivos físicos al desecharlos o dar de baja, restringir el acceso a los puertos físicos y dispositivos periféricos del sistema, resguardo de la información del sistema y operativa, detección de alteraciones o falsificaciones en la información del sistema y cifrado de la información sensible en el sistema.
11. Implementar mecanismos y controles robustos de acceso lógico al sistema, además de gestionar usuarios, contraseñas y privilegios de acceso al sistema, contar con procedimientos para bloquear manual y automáticamente el sistema para garantizar el acceso solo a personal autorizado. Vigilancia y auditoría de accesos y actividades realizadas por usuarios autorizados, con un periodo de resguardo de información de al menos seis meses, y atención y seguimiento a posibles eventos de fraude.
12. Tener procedimientos para restringir el acceso a Internet desde los sistemas del depositante y gestionar una red de telecomunicaciones que permita una comunicación eficiente y segura con Indeval.

Requisitos de Riesgo Operacional

Los Depositantes que deseen conectarse a la Red Financiera de Indeval deben demostrar que cumple los requisitos de gestión de riesgo operacional establecidos por Indeval. Estos requisitos incluyen:

1. Contar con políticas y procedimientos documentados para la administración de riesgos operacionales, que cubran la identificación, evaluación, monitoreo y mitigación de riesgos, un análisis de impactos al negocio, que incluya la identificación de procesos críticos, clasificación de impactos en el tiempo, definición de tiempos objetivos de recuperación, identificación de contrapartes críticas y recursos necesarios para realiza la operación con los Sistemas, así como la contratación y capacitación del personal para garantizar habilidad y conocimientos requeridos, por último una descripción de actividades necesarias para operar con los sistemas, asegurando segregación de funciones y definición de responsabilidades.
2. Establecer medidas de mitigación de riesgos que incluyan: la elaboración de un listado de riesgos operacionales identificados, su clasificación y evaluación, así como la definición de controles tecnológicos, operativos y de proveedores externos, además de realizar un análisis de capacidad de recursos tecnológicos, humanos y materiales para garantizar la capacidad de manejar volúmenes de operación y cumplir con los objetivos de nivel de servicio, asimismo de contar con políticas y lineamientos para la gestión de privilegios de acceso físico a sitios operativos y centros de datos que alojan los sistemas del depositante para operar con Indeval.
3. Contra con procedimientos documentados para la recuperación y restauración de la operación en caso de materialización de riesgos, que contemplen políticas de continuidad, acciones para la atención y gestión de incidentes, respuesta a emergencias y un plan de pruebas anual para evaluar las estrategias y procedimientos de continuidad implementados.

Obligaciones para Depositantes

Los Depositantes deben cumplir con las siguientes obligaciones:

1. Mantener actualizada la información conforme al Manual Operativo correspondiente al servicio que se le va a prestar o se le presta.
2. Cumplir con los requisitos de seguridad informática y gestión del riesgo operacional establecidos en el Manual Operativo de Comunicaciones, Infraestructura y Seguridad y la Guía de Requisitos de Indeval, demostrando su cumplimiento cada tres años mediante un Informe de Cumplimiento emitido por un Especialista Independiente.
3. Estar al corriente en el pago de las cuotas especificadas en el Anexo 1 del Reglamento.

Conclusión

En resumen, el cumplimiento de los requisitos establecidos por Indeval es fundamental para garantizar operaciones seguras y eficientes en el mercado financiero. Los participantes que requiera la contratación de servicios con Indeval, ya sean Depositantes o Emisoras, deben cumplir con los requisitos específicos en seguridad informática y gestión del riesgo operacional. La evaluación periódica de estos requisitos es a través de informes emitidos por especialistas independientes como IDEFI Consultores, S.C., ayudando a mantener la confianza y la integridad en las operaciones financieras realizada por Indeval.

Referencias

• Jiménez Vázquez, Lorenzo. “VI. Liquidación de Instrumentos”. Consultado en: https://www.banxico.org.mx/elib/mercado-valores-gub/OEBPS/Text/vi.html#:~:text=El%20INDEVAL%20se%20cre%C3%B3%20el,transferencia%20mediante%20anotaciones%20en%20cuenta.
• Facturama Blog. “INDEVAL”. Consultado en: https://facturama.mx/blog/que-significa/indeval-deposito-de-valores/
• Villavisencio Alex (2023). “Qué es el INDEVAL y cuál es su función en el sistema financiero”. Consultado en: https://www.financieromillennial.com.mx/que-es-el-indeval-y-cual-es-su-funcion-en-el-sistema-financiero/#google_vignette
• INDEVAL. “Reglamento Interno de Indeval”
• INDEVAL. “Manual Operativo de Comunicaciones, Infraestructura y Seguridad”.
• INDEVAL. ““Guía de Requisitos” de Tecnología, Seguridad de la Información y Riesgo Operacional de los Depositantes con Indeval”