NOM-151: Guía de cumplimiento para empresas financieras en México

Qué es la NOM-151 y por qué te afecta

La NOM-151-SCFI-2002 (actualizada en 2016) es la norma mexicana que establece los requisitos para la conservación de mensajes de datos y la digitalización de documentos. Si tu empresa emite o recibe facturas electrónicas, contratos digitales, o cualquier documento con valor legal en formato electrónico, esta norma aplica.

Para empresas del sector financiero — fondos de inversión, casas de bolsa, aseguradoras, fintechs, y sofomes — el cumplimiento no es opcional. La CNBV y la CONDUSEF esperan que los registros electrónicos sean íntegros, accesibles y verificables durante los periodos de retención que marca la ley.

Los 4 pilares de NOM-151

1. Integridad del mensaje de datos

Cada documento electrónico debe mantenerse íntegro desde su creación. Esto significa que necesitas un mecanismo para demostrar que no ha sido alterado. En la práctica, se implementa con sellos digitales de tiempo emitidos por un PSC (Prestador de Servicios de Certificación) autorizado por la Secretaría de Economía.

2. Conservación en su formato original

No basta con imprimir un PDF y guardar el papel. El documento debe conservarse en el medio electrónico en que fue generado, enviado o recibido. Si tu equipo descarga facturas XML del SAT y las convierte a PDF sin conservar el XML original, estás incumpliendo.

3. Accesibilidad y disponibilidad

Los documentos deben ser consultables durante todo el periodo de retención legal. Para documentos fiscales, esto es mínimo 5 años. Para documentos financieros regulados, puede ser 10 años o más según la regulación específica.

4. Referencia a la información original

El sistema de conservación debe permitir rastrear cada documento hasta su origen: quién lo creó, cuándo, desde dónde, y qué cadena de custodia ha tenido.

Dónde entra Microsoft 365

Si usas Microsoft 365 como plataforma de trabajo (Outlook para email, SharePoint para documentos, Teams para comunicación), tus mensajes de datos viven ahí. Y aquí hay un problema común: la configuración por defecto de Microsoft 365 no cumple con NOM-151.

Problemas frecuentes

• Retención insuficiente: Microsoft 365 E3 tiene retención de 90 días por defecto en buzones eliminados. Si un empleado borra un email con un contrato adjunto y pasan 90 días, se perdió.
• Sin sellos de tiempo certificados: Microsoft no emite constancias de conservación con sellos de PSC mexicano. Necesitas una solución complementaria.
• Buzones compartidos sin auditoría: Si un equipo de compliance comparte un buzón, no hay registro individual de quién accedió a qué documento ni cuándo.
• SharePoint sin versionado obligatorio: Sin políticas de retención, cualquier usuario puede borrar documentos permanentemente.

Cómo configurar M365 para cumplir

1. Políticas de retención de Exchange: Configura retención de 5-10 años en buzones específicos de compliance. Usa "litigation hold" o "retention policies" en el Centro de Cumplimiento de Microsoft 365.

2. Etiquetas de retención en SharePoint: Aplica etiquetas de retención obligatorias a las bibliotecas donde se almacenan documentos financieros. Bloquea la eliminación durante el periodo regulatorio.

3. Auditoría unificada: Habilita la auditoría avanzada de Microsoft 365 para registrar cada acceso, modificación y eliminación de documentos.

4. Complemento de PSC: Integra un servicio de sello de tiempo de un PSC autorizado mexicano para generar las constancias de conservación que NOM-151 exige.

El riesgo real

Las multas por incumplimiento de NOM-151 en sí pueden parecer menores, pero el verdadero riesgo es la invalidación de documentos. Si en un litigio o auditoría regulatoria no puedes demostrar la integridad de tus registros electrónicos, esos documentos pierden valor probatorio. Para una empresa financiera, eso puede significar perder un juicio, una auditoría de CNBV, o la confianza de inversionistas.

Checklist de cumplimiento rápido

• [ ] Políticas de retención configuradas a 5+ años para documentos financieros
• [ ] Auditoría avanzada habilitada en Microsoft 365
• [ ] Sellos de tiempo de PSC autorizado implementados
• [ ] Versionado obligatorio en SharePoint para documentos regulados
• [ ] Proceso documentado de conservación de mensajes de datos
• [ ] Pruebas periódicas de recuperación de documentos archivados

Primer paso: conoce tu postura

Antes de invertir en soluciones de PSC o configurar retención avanzada, necesitas saber cómo está tu tenant de Microsoft 365 hoy. Nuestro escaneo gratuito evalúa 192 reglas de detección — incluyendo configuración de retención, auditoría y políticas de datos — y te da un score en menos de 90 segundos.

[Escanea tu tenant gratis →](/scan)