El administrador maestro define siete bloques que quedan en firme desde el primer día de operación del portal.
Alta de operadores, autorizadores y consultas. Cada usuario recibe un RFC o correo único dentro del portal, una clave inicial y la asignación de Token Digital. Las altas sucesivas heredan los permisos del rol elegido.
El esquema mancomunado separa quien captura (maker) de quien autoriza (checker). Un mismo usuario no puede ejecutar ambos roles en una operación. Se configuran combinaciones A+B, A+A o triple firma según monto.
Montos máximos por transacción, por día y por mes. Se pueden fijar límites distintos según el canal (SPEI, TEF, internacional, nómina). Un operador puede tener tope de 500,000 MXN diarios por SPEI y de 5,000,000 MXN por nómina quincenal.
Restringe accesos a ventanas horarias y rangos de IP autorizados. Usual para acotar que el equipo de tesorería opere solo desde la red corporativa en horario de oficina. Útil contra intrusiones nocturnas.
Activación del Token físico o del Token app. Habilita huella dactilar y reconocimiento facial para los dispositivos compatibles. El Token queda vinculado al usuario y no se puede transferir.
Beneficiarios frecuentes, layouts de nómina, convenios CIE para pago de servicios y contrapartes SPEI se capturan una sola vez. Reducen errores y tiempo de captura en operaciones repetitivas.
La configuración técnica con SAP, Oracle, Contpaq o Aspel que automatiza la conciliación.
La integración con el ERP corporativo no es parte del alta original — se configura después, cuando el árbol de usuarios y los perfiles ya están listos. El equipo técnico de Banamex entrega la documentación del canal host-to-host, las credenciales OAuth2 y los endpoints REST correspondientes a consulta de saldo, descarga de estados y carga de archivos de dispersión.
Para SAP se publica un conector nativo que lee el extracto en formato MT940 SWIFT y el BAI2. Para Oracle se mapea contra el módulo de tesorería. Contpaq y Aspel usan un cargador de archivos en CSV con catálogo de cuentas preestablecido. Cada integración pasa por dos pruebas controladas en ambiente QA antes de liberarse en producción.
La seguridad de la conexión se establece con certificados mTLS y rotación de tokens cada 24 horas. El registro de llamadas se conserva por siete años en el módulo de exportación de datos con firma digital para trazabilidad. El administrador del portal revoca o rota credenciales desde administración de usuarios.
La secuencia que minimiza errores y acelera la entrada en producción.
Primera sesión con clave temporal, cambio de clave, alta del Token y registro de preguntas de seguridad.
Captura de RFC, nombre completo, rol (operador, autorizador, consulta) y asignación de Token al usuario.
Configuración maker / checker por cuenta y por producto, con montos topes individuales.
Máximo por transacción, por día y por mes. Distingue entre SPEI, TEF, internacional, nómina y servicios.
Activación del Token físico o Token app; habilitar huella y facial en dispositivos compatibles.
Entrega de credenciales OAuth2, pruebas en QA y liberación en producción del canal host-to-host.
Transferencia SPEI de bajo monto entre cuentas propias para validar el circuito completo antes del primer pago real.
Referencia rápida con los parámetros, tiempos y límites vigentes del módulo.
| Categoría | Parámetro | Valor por defecto | Quién puede modificarlo |
|---|---|---|---|
| Usuarios | Número máximo de operadores | Ilimitado | Administrador maestro |
| Usuarios | Vigencia de clave | 90 días | Administrador maestro |
| Autorización | Esquema maker / checker | Obligatorio en producción | Representante legal |
| Autorización | Triple firma | Desde $10,000,000 MXN | Representante legal |
| Límites | SPEI por transacción | Sin tope preconfigurado | Administrador maestro |
| Límites | Nómina por lote | 50,000 registros | Administrador maestro |
| Acceso | Horario hábil | 24/7 | Administrador maestro |
| Acceso | IP whitelist | Abierta | Administrador maestro |
| Token | Tipo | Token app móvil | Usuario final |
| ERP | Canal host-to-host | Inactivo | Admin. + TI Banamex |
Respuestas directas a las consultas operativas más habituales.
El administrador maestro designado en el contrato marco. La designación la hace el representante legal al firmar el anexo de medios electrónicos durante el alta corporativa. Este administrador recibe usuario y clave temporal, activa su Token Digital en la primera sesión y queda habilitado para crear el resto del árbol de usuarios.
El setup operativo toma entre dos y cinco días hábiles según el número de usuarios y la complejidad del árbol. La conexión host-to-host con el ERP (SAP, Oracle, Contpaq, Aspel) agrega entre tres y diez días adicionales por las pruebas en ambiente QA y la liberación controlada. La primera operación real suele hacerse al día siguiente de terminar la fase de pruebas.
Sí. Los cambios de usuario, perfil, límite y horario son en caliente: surten efecto en la siguiente sesión sin interrumpir a quienes están operando. Las modificaciones a la tarjeta de firmas y facultades del representante legal requieren tramitación en sucursal y quedan vigentes al día hábil siguiente. Los cambios al anexo de medios electrónicos se actualizan en sesión con el ejecutivo.
El módulo permite guardar beneficiarios frecuentes, layouts de nómina, convenios CIE para pago de servicios y contrapartes SPEI nacionales e internacionales. Cada plantilla se autoriza bajo el mismo esquema maker / checker antes de entrar a producción. Los errores recurrentes de captura se reducen cuando el catálogo de beneficiarios queda cerrado.
La conexión se hace por canal host-to-host con API REST autenticada con OAuth2 y cifrado mTLS. Para SAP hay un conector nativo que lee extractos MT940 y BAI2; para Oracle se mapea contra el módulo de tesorería. El equipo técnico de Banamex entrega la documentación y apoya las pruebas en QA. La seguridad del canal cumple con los lineamientos de la CNBV para integraciones electrónicas.