Question 1

¿Qué es la CNBV y qué supervisa?

Accepted Answer

La CNBV (Comisión Nacional Bancaria y de Valores) es el órgano desconcentrado de la Secretaría de Hacienda y Crédito Público de México que supervisa al sistema financiero mexicano: banca múltiple, banca de desarrollo, casas de bolsa, sociedades de inversión, instituciones de tecnología financiera (IFPE e IFC bajo Ley Fintech 2018) y otras entidades. Coordina con Banco de México (Banxico) en lo relativo a política monetaria y sistemas de pago.

Question 2

¿Qué pide CNBV en gobernanza tecnológica para bancos?

Accepted Answer

Las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito (CUB) regulan, entre otros, los requisitos de gestión de riesgos operativos y tecnológicos, planes de continuidad del negocio, ciberseguridad y gobernanza de proveedores externos de servicios. CNBV exige que las instituciones reguladas mantengan políticas formales, documentación de procesos críticos y notificación de eventos relevantes (incluyendo incidentes de seguridad). El alcance real es más permisivo que DORA europeo en lo relativo a TLPT (Threat-Led Penetration Testing) y a la supervisión directa de proveedores TIC críticos.

Question 3

¿Cómo se compara con DORA europeo?

Accepted Answer

DORA (Reglamento UE 2022/2554) es más estricto en tres planos: (1) registro detallado y obligatorio de proveedores TIC con designación de proveedores críticos supervisados directamente por las Autoridades Europeas de Supervisión; (2) TLPT obligatorio cada tres años para entidades significativas; (3) cláusulas contractuales mínimas vinculantes (Art. 30). CNBV cubre conceptualmente los mismos riesgos pero con requisitos operativos menos detallados. Una entidad financiera mexicana subsidiaria de un grupo europeo suele aplicar el estándar más estricto (DORA) de manera transversal por consistencia.

Question 4

¿Aplica a fintechs mexicanas?

Accepted Answer

Sí. La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) de 2018 creó las figuras de Institución de Fondos de Pago Electrónico (IFPE) e Institución de Financiamiento Colectivo (IFC). Ambas están bajo supervisión CNBV. Las obligaciones de gobernanza tecnológica son proporcionales al tamaño y la criticidad de la entidad. Las fintechs deben mantener controles sobre proveedores tecnológicos, gestión de incidentes y reporte regulatorio similar al de banca tradicional.

Question 5

¿Una consultora europea puede prestar servicios TIC a banca mexicana?

Accepted Answer

Sí, sin restricciones específicas más allá de los requisitos generales de contratación de proveedores y de las obligaciones fiscales sobre prestación de servicios transfronterizos. La entidad mexicana debe documentar la evaluación previa, las cláusulas contractuales y los mecanismos de continuidad. Para servicios que impliquen tratamiento de datos personales aplica la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Vermont Solutions opera bajo modelos cross-border desde España y cumple con los requisitos típicos de evaluación CNBV.

Dimensión	CNBV (México)	DORA (UE)
Registro proveedores TIC	Requerido pero menos detallado	Obligatorio, formato exigido
Cláusulas contractuales mínimas	Generales	Exhaustivas (Art. 30)
TLPT obligatorio	No explícito	Sí, cada 3 años (entidades significativas)
Supervisión directa de proveedores	Solo vía entidad regulada	Sí para CTPPs designados
Notificación incidentes	Sí, definida en CUB	Sí, formato armonizado UE

CNBV — gobernanza tecnológica y disposiciones bancarias en México

Ámbito de supervisión

Pilares regulatorios para tecnología

Comparativa con DORA europeo

Vermont Solutions en banca mexicana

Fuentes oficiales