Documento legal

Aviso de Privacidad Integral

Tratamiento de datos personales en el servicio DSI ⓥerify, emitido conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

Última actualización: 29 de abril de 2026 · Versión 1.0

1. Identidad y domicilio del Responsable

DSI Servicios Financieros (en adelante "DSI" o "el Responsable"), comercializando bajo la marca DSI Servicios Digitales y operando el servicio DSI ⓥerify, con domicilio en territorio de los Estados Unidos Mexicanos, es el Responsable del tratamiento de los datos personales que se recaban a través del sitio verify.dsi-mx.com.mx y los demás canales asociados al servicio.

Contacto del Departamento de Datos Personales: privacidad@dsi-mx.com.

2. Datos personales que se recaban

Para la prestación del servicio de verificación de identidad, DSI recaba los siguientes datos personales del Titular:

  • Datos de identificación: nombre completo, fecha de nacimiento, sexo, lugar de nacimiento, nacionalidad, Clave Única de Registro de Población (CURP), Registro Federal de Contribuyentes (RFC), número de credencial para votar (Clave de Elector y OCR), número de pasaporte, fecha de vencimiento del documento.
  • Imágenes del documento de identificación: fotografías del anverso y reverso de la credencial para votar (INE/IFE) o de la página principal del pasaporte, incluyendo la imagen del Titular impresa en dicho documento, su firma autógrafa y la zona de lectura mecánica (MRZ) cuando aplique.
  • Datos biométricos faciales: fotografía facial del Titular ("selfie") capturada con la cámara del dispositivo, así como las características y vectores faciales derivados del análisis de dicha imagen.
  • Datos de prueba de vida (liveness): indicadores derivados del análisis biométrico que permiten confirmar la presencia física del Titular y descartar fraudes con fotografía, video o máscara.
  • Datos técnicos: dirección IP, identificador del dispositivo, agente de usuario del navegador, fecha y hora de la sesión, geolocalización aproximada por IP.

3. Datos personales sensibles y consentimiento expreso

El Titular reconoce y acepta que los datos biométricos faciales (fotografía facial, vectores biométricos derivados, datos de prueba de vida) son considerados datos personales sensibles conforme al artículo 3, fracción VI, de la LFPDPPP, por revelar características físicas inequívocas de su persona.

De conformidad con el artículo 9 de la LFPDPPP, el tratamiento de datos personales sensibles requiere el consentimiento expreso del Titular. Al iniciar y completar el flujo de verificación, capturar voluntariamente los documentos y la selfie, y enviar la información a través de la plataforma, el Titular otorga su consentimiento expreso para que DSI trate los datos personales sensibles aquí descritos para las finalidades primarias señaladas en el numeral 4.

El Titular podrá revocar este consentimiento en todo momento conforme al numeral 9 del presente Aviso, sin efectos retroactivos respecto de los tratamientos ya realizados.

4. Finalidades del tratamiento

4.1 Finalidades primarias (necesarias para el servicio)

  • Verificar la identidad del Titular mediante la lectura óptica (OCR) y, en su caso, mecánica (MRZ ICAO 9303) de su documento oficial.
  • Validar la vigencia y consistencia de la información del documento contra fuentes oficiales o de referencia (RENAPO para CURP, SAT para RFC, en los casos aplicables).
  • Realizar el cotejo biométrico (face match) entre la fotografía del documento y la fotografía facial del Titular para confirmar la coincidencia de identidad.
  • Ejecutar pruebas de vida (liveness detection) para confirmar la presencia física del Titular y prevenir suplantación.
  • Verificar al Titular contra listas internacionales de sanciones, restrictivas y de Personas Políticamente Expuestas (OFAC SDN, ONU, Unión Europea, Reino Unido HMT, entre otras), en cumplimiento de las obligaciones de prevención de operaciones con recursos de procedencia ilícita aplicables al Responsable o a las entidades que requieren la verificación.
  • Generar y conservar el resultado de la verificación (puntaje, estado, evidencia) como respaldo de la diligencia debida realizada.
  • Atender requerimientos de autoridades competentes en materia de prevención de lavado de dinero, fraude o ilícitos.
  • Atender solicitudes de derechos ARCO del Titular.

4.2 Finalidades secundarias (no necesarias para el servicio)

  • Mejora continua del servicio mediante análisis estadístico agregado y anonimizado del desempeño del motor de verificación.
  • Investigación y desarrollo de modelos antifraude.

El Titular podrá negarse al tratamiento para finalidades secundarias enviando un correo a privacidad@dsi-mx.com con el asunto "Negativa de finalidades secundarias", indicando su nombre completo y referencia de verificación. La negativa no condiciona la prestación del servicio principal.

5. Fundamento legal

El tratamiento de los datos personales se realiza con fundamento en los siguientes ordenamientos:

  • LFPDPPP — Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 5 de julio de 2010), artículos 6, 7, 8, 9, 13, 16, 17, 22, 36 y demás aplicables.
  • Reglamento de la LFPDPPP (DOF 21 de diciembre de 2011), artículos 26 a 37, y 47 a 60.
  • LFPIORPI — Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (DOF 17 de octubre de 2012) y su Reglamento, en lo correspondiente a las obligaciones de identificación del cliente que recaen sobre las entidades obligadas que utilicen este servicio.
  • Recomendaciones del Grupo de Acción Financiera Internacional (GAFI) en materia de Customer Due Diligence (CDD).
  • Normatividad sectorial aplicable a la entidad obligada que solicita la verificación, según corresponda.

6. Transferencias y remisiones de datos personales

DSI realiza las siguientes transferencias y/o remisiones de datos personales del Titular, las cuales son necesarias para la prestación del servicio y, por lo tanto, no requieren consentimiento adicional conforme al artículo 37 de la LFPDPPP:

DestinatarioPaísDatos transferidosFinalidad
Amazon Web Services, Inc. (S3, Rekognition)EUAImágenes del documento, selfie, vectores facialesAlmacenamiento cifrado y procesamiento de cotejo biométrico y prueba de vida
Google LLC (Cloud Run, Cloud SQL)EUAResultado de verificación, datos de identificaciónCómputo del motor de verificación y persistencia transaccional
OpenSanctions FoundationAlemania / UENombre completo, fecha de nacimiento, nacionalidadVerificación contra listas internacionales de sanciones (OFAC SDN, ONU, UE, UK HMT, PEP)
Proveedores de validación RENAPO/SATMéxicoCURP, RFCValidación de existencia y vigencia en registros oficiales
Entidad obligada solicitanteSegún contratoResultado de verificación y datos de identificación validadosCumplimiento del proceso KYC del cliente que originó la verificación

Todos los terceros señalados se encuentran sujetos a obligaciones contractuales de confidencialidad y a las medidas de seguridad descritas en el numeral 7. DSI no comercializa ni transfiere datos personales del Titular a terceros con fines mercadotécnicos.

7. Medidas de seguridad

DSI ha implementado medidas de seguridad administrativas, técnicas y físicas conformes al artículo 19 de la LFPDPPP y a su certificación ISO/IEC 27001 (Sistema de Gestión de la Seguridad de la Información), con el objetivo de proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado:

  • Cifrado en tránsito: toda comunicación entre el dispositivo del Titular y los servidores se realiza sobre HTTPS con TLS 1.3.
  • Cifrado en reposo: los documentos e imágenes biométricas se almacenan con cifrado AES-256 en repositorios con control de acceso restringido.
  • URL firmadas y temporales para el acceso a documentos almacenados, con vigencia limitada y autenticación.
  • No almacenamiento local: el dispositivo del Titular no conserva copias persistentes de los documentos capturados.
  • Control de acceso basado en roles a la consola interna de revisión.
  • Bitácoras y trazabilidad de las operaciones realizadas sobre los datos.
  • Procedimientos documentados de respuesta a incidentes y notificación al Titular y a la autoridad cuando proceda, conforme al artículo 20 de la LFPDPPP.
  • Capacitación continua al personal con acceso a datos personales.

8. Plazo de conservación

Los datos personales se conservan únicamente por el tiempo necesario para cumplir las finalidades descritas y las obligaciones legales aplicables, conforme a los siguientes plazos máximos de referencia:

  • Hasta 10 (diez) años contados a partir de la verificación, cuando la entidad obligada solicitante esté sujeta al artículo 18 de la LFPIORPI o a normatividad sectorial financiera que exija conservar el expediente de identificación.
  • Hasta 5 (cinco) años contados a partir de la verificación, cuando no exista obligación financiera/regulatoria específica más amplia.
  • Los datos sometidos a finalidades secundarias se anonimizan o eliminan al ejercer el derecho de oposición o, en todo caso, en plazos no mayores a los señalados.

Concluidos los plazos aplicables, los datos personales serán cancelados y posteriormente suprimidos conforme al artículo 25 de la LFPDPPP.

9. Derechos ARCO y revocación del consentimiento

El Titular tiene en todo momento el derecho de conocer qué datos personales se tienen de él, para qué se utilizan y las condiciones del uso (Acceso); solicitar la corrección de su información personal cuando sea inexacta o incompleta (Rectificación); solicitar la eliminación de los datos cuando considere que no están siendo utilizados conforme a los principios, deberes y obligaciones aplicables (Cancelación); y oponerse al uso de sus datos personales para fines específicos (Oposición). Estos derechos se conocen como Derechos ARCO.

Asimismo, el Titular podrá revocar el consentimiento que haya otorgado para el tratamiento de sus datos personales.

Procedimiento

La solicitud deberá enviarse al correo privacidad@dsi-mx.com y deberá contener, conforme al artículo 29 de la LFPDPPP:

  1. Nombre del Titular, domicilio u otro medio para comunicarle la respuesta.
  2. Documentos que acrediten la identidad del Titular (o, en su caso, la representación legal).
  3. Descripción clara y precisa de los datos personales respecto de los que se busca ejercer el derecho.
  4. Cualquier otro elemento que facilite la localización de los datos.

DSI dará respuesta en un plazo máximo de 20 (veinte) días hábiles contados desde la recepción de la solicitud, conforme al artículo 32 de la LFPDPPP. La efectividad de la respuesta se hará dentro de los 15 (quince) días hábiles siguientes a la fecha de respuesta.

10. Cookies y tecnologías de rastreo

El sitio utiliza únicamente cookies técnicas y de sesión estrictamente necesarias para el funcionamiento del flujo (token CSRF, identificador de sesión, mantenimiento del estado del flujo de captura). No se utilizan cookies publicitarias ni de rastreo entre sitios.

11. Modificaciones al Aviso de Privacidad

DSI se reserva el derecho de modificar el presente Aviso conforme a cambios legislativos, políticas internas o nuevos requerimientos para la prestación del servicio. Toda modificación será publicada en verify.dsi-mx.com.mx/privacidad con indicación de la fecha de la última actualización.

12. Autoridad competente

Si el Titular considera que su derecho a la protección de datos personales ha sido lesionado, podrá acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): home.inai.org.mx, teléfono 800-835-43-24.

13. Datos de contacto del Responsable

DSI Servicios Financieros
Departamento de Datos Personales
Correo: privacidad@dsi-mx.com
Sitio: verify.dsi-mx.com.mx