Cumplimiento CNBV para instituciones de crédito

Llega a tu autorización CNBV con el expediente ya armado. Trébol entrega el paquete documental, las cláusulas y la evidencia que tu equipo de legal y seguridad necesita: menos idas y vueltas, menos riesgo de un requerimiento.

Tus datos no entrenan nuestros modelos de IA.

5+ entidades reguladas por la CNBV ya operan con Trébol · ISO 27001:2022 · Pentest anual

¿Las instituciones reguladas por la CNBV pueden usar un proveedor como Trébol?

Sí. Pueden contratar servicios de tecnología con terceros, siempre que cumplan los requisitos legales y regulatorios aplicables.

Estas actividades de KYB/KYC —procesos operativos y manejo de datos vía un tercero— están reguladas por la CNBV. Aquí ves qué exige el marco y cómo Trébol te ayuda a cumplirlo.

Soportamos a las entidades que regula la CNBV

Trébol ya opera con instituciones supervisadas por la CNBV en distintos regímenes. Conocemos los requisitos de cada una y la documentación que su expediente de autorización necesita.

Bancos

Instituciones de crédito (LIC y Circular Única de Bancos).

IFPE

Instituciones de Fondos de Pago Electrónico (Ley Fintech).

SOFIPO

Sociedades Financieras Populares (Ley de Ahorro y Crédito Popular).

Casas de bolsa

Intermediarios del mercado de valores (Ley del Mercado de Valores).

Los ejemplos de esta página siguen el régimen de banca (instituciones de crédito). Para IFPE, SOFIPO y casas de bolsa aplican los requisitos equivalentes de su propia regulación, y Trébol entrega la documentación correspondiente a cada régimen.

El requisito clave: contratación de servicios con terceros

La CUB (Capítulo XI, Sección Tercera) regula la contratación de terceros. Como la información se procesa en infraestructura en la nube fuera de México, tu trámite es la autorización previa de la CNBV (art. 328), no el simple aviso del art. 326, que aplica solo cuando todo se procesa en territorio nacional.

A · AUTORIZACIÓN PREVIA

Autorización previa de la CNBV (art. 328)

Presenta la solicitud de autorización con al menos 20 días hábiles de anticipación a la fecha en que pretendas contratar. El escrito lo suscribe el director general e incluye los anexos de soporte documental.

Trébol — te entregamos el paquete documental que tu expediente necesita, ya probado con instituciones que pasaron este proceso.

B · CONTRATO

Requisitos contractuales

El contrato debe incluir cláusulas mínimas: derechos de acceso e inspección de la CNBV, confidencialidad, continuidad y terminación (Art. 318).

Trébol — nuestro Convenio de Servicios Financieros (anexo al acuerdo de servicio) ya contempla las cláusulas de acceso e inspección de la CNBV, confidencialidad, continuidad, terminación y eliminación segura; te lo entregamos listo para tu área legal.

C · JURISDICCIÓN

Protección de datos

Al procesarse fuera de México, debes acreditar protección de datos equivalente en el país destino (o acuerdo internacional / opinión legal), según la Guía CNBV.

Trébol — operamos como encargado del tratamiento bajo la LFPDPPP, con DPA y la opinión legal de protección de datos equivalente (EE.UU.) que exige el art. 328.

D · CONFORMIDAD

Posterior a la aprobación

Obligaciones continuas de seguridad de la información y auditorías al menos cada dos años.

Trébol — te damos los controles y el monitoreo de seguridad que la autoridad te pide acreditar, con auditoría y pentest anuales.

Los controles y el monitoreo que la autoridad te exige: ya integrados

La CNBV no solo te pide contratar a un tercero confiable: te pide acreditar controles de seguridad de la información y monitoreo continuo. Trébol te entrega ambos, listos para tu expediente y tus auditorías.

Controles técnicosCifrado AES-256 y TLS 1.2+, MFA/SSO, control por roles (RBAC), whitelisting de IPs, webhooks firmados (HMAC) y monitoreo con SIEM — activos por defecto.
Marco contractual y derechos de la CNBVCláusulas de acceso e inspección de la CNBV, confidencialidad, continuidad, terminación y reversión de datos, listas para tu área legal.
Certificaciones y evidenciaISO 27001:2022 vigente, pentest anual con metodología assume breach y reportes para due diligence.

¿Necesitas el mapeo completo requisito CUB → control? Lo compartimos directamente bajo NDA con nuestro equipo de cumplimiento durante tu evaluación.

No serías el primero. Serías el siguiente.

5+ entidades reguladas por la CNBV ya operan con Trébol. Cada una pasó por la evaluación de su área de seguridad, su jurídico y su comité de riesgos. Ese camino ya recorrido hace que tu proceso sea más rápido: sabemos qué pide la autoridad, qué documenta tu expediente y dónde se atoran las autorizaciones.

Compartimos referencias e instituciones específicas bajo NDA durante tu evaluación.

Preguntas frecuentes de cumplimiento

Respuestas a las dudas que suelen plantear la CNBV y los equipos de seguridad de nuestros prospectos.

¿Dónde se almacenan y procesan los datos?

El Contenido del Cliente se aloja y procesa en EE.UU. a través de infraestructura en la nube (AWS), con replicación multi-AZ. Por eso aplica la ruta de autorización del art. 328: acreditamos protección de datos equivalente (opinión legal) y tu institución mantiene en territorio nacional los registros operativos consultables por la CNBV.

¿Cómo se cifran los datos?

En reposo con AES-256 y en tránsito con TLS 1.2+, con claves de cifrado independientes por tenant.

¿La CNBV puede auditar o inspeccionar a Trébol?

Sí. El acuerdo de servicio contempla derechos de acceso e inspección de la CNBV, conforme al Art. 318 de la CUB; te entregamos el clausulado para revisión de tu área legal.

¿Cómo se aísla la información entre clientes?

Arquitectura multi-tenant con segregación lógica de datos y claves de cifrado por tenant.

¿Qué ocurre con los subcontratistas (subprocesadores)?

El detalle de subprocesadores, su ubicación y rol se entrega bajo NDA durante tu evaluación de proveedor, con notificación previa de cambios.

¿Cómo se notifican los incidentes de seguridad?

Conforme a los plazos y canales acordados contractualmente, con un proceso de respuesta a incidentes documentado.

¿Qué plan de continuidad y recuperación existe?

Arquitectura multi-AZ con failover automático, backups cifrados con validación de integridad y procedimientos de restauración probados.

¿Qué pasa con mis datos si termina el contrato?

A la terminación, Trébol devuelve o borra de forma segura los datos en el plazo pactado, con formato de entrega y evidencia de borrado.

¿Usan mis datos para entrenar modelos de IA?

No. Trébol no utiliza datos de clientes para entrenar ni ajustar modelos de inteligencia artificial.

¿Qué certificaciones tienen y cada cuánto se auditan?

ISO 27001:2022 vigente, con auditoría anual y pruebas de penetración anuales con metodología assume breach.

Revisa tu expediente de autorización con quien ya lo ha hecho

Recomendado

Habla con nuestro equipo de cumplimiento

En 30 min revisamos tu checklist de autorización CNBV y qué documentos te faltan.

Agenda una sesión →

Descarga el Checklist de autorización CNBV

La lista completa de requisitos de la CNBV y qué entrega Trébol para cada uno.

Descargar →

Trust Center

Certificaciones, controles y reportes de auditoría.

Visitar →

Esta página tiene fines informativos y no constituye asesoría legal. Marco regulatorio vigente a junio de 2026; consulta la versión oficial de la CUB, que está sujeta a cambios. Cada institución es responsable de evaluar su propio cumplimiento. Las referencias a artículos de la CUB y la LIC son ilustrativas y pueden variar por reformas; verifica siempre el texto vigente.