Академический Документы
Профессиональный Документы
Культура Документы
Manifiesta mi representada que cumple completamente con los puntos contenidos en esta matriz de control y que cuenta con evidencia del cumplimiento
de cada uno de los puntos ah expresados.
Alcance: "Estos controles aplican a toda la infraestructura y aplicaciones que soportan los servicios que el proveedor otorga en nombre del
SAT"
ID
Control
Control
Descripcin
Criterio de Revisin
ID
Sec
Revisin
INFRAESTRUCTURA TECNOLGICA
Centro de Cmputo
Ubicacin Fsica
Estructura
Infraestructura
Instalacin elctrica
1.2
Instalacin elctrica, rieles para el cableado, plantas El Centro de Cmputo debe contar con Equipamiento
de energa de emergencia, corriente regulada, etc. elctrico que permita mantener la continuidad del servicio.
1.3
2.1
2.2
2.3
2.4
El Centro de Cmputo debe contar con paredes de concreto,
puerta blindada, piso falso, acceso ya sea por sistema
biomtrico o tarjeta de proximidad o mnimo, con acceso por
teclado.
1.1
2.5
2.6
2.7
3.1
3.2
3.3
3.4
3.5
3.6
3.7
4.1
Cumple/ No Cumple
Observaciones
Tipo de Control
Instalacin elctrica
Instalacin elctrica, rieles para el cableado, plantas El Centro de Cmputo debe contar con Equipamiento
de energa de emergencia, corriente regulada, etc. elctrico que permita mantener la continuidad del servicio.
4.2
4.3
Mantenimiento
5.1
5.2
6.1
6.2
6.3
6.4
7.1
7.2
7.3
8.1
8.2
8.3
8.4
Telecomunicaciones
Servicio de
Telecomunicaciones
Control de Acceso
El Centro de Cmputo debe contar con personal de vigilancia
de manera permanente, y suficiente para asegurar el acceso
controlado y seguro, as como con personal de seguridad
que monitoree las instalaciones para atender problemas.
Sealizacin
8.5
9.1
9.2
9.3
9.4
9.5
10.1
10.2
10.3
10
Control de Acceso
Electrnico
10.4
11
Visitas, proveedores
11.1
12.1
12
Cmaras de Seguridad
12.2
12.3
12.4
13.1
13.2
13.3
13.4
Equipo de Cmputo
13
13
14
15
Sistema Operativo
Capacidad
Versin actualizada
13.5
13.6
-Ipsec
Reglas de entrada y salida de trfico
Cifrado de comunicaciones
Evitar conexiones a sistemas no autorizados
-Windows Firewall / IPTable
Definicin de aplicaciones vlidas
13.7
13.8
13.9
14.1
15.1
15.3
16.1
16
Retiro de Discos
16.2
16.3
17
Servidor de Tiempo
APLICATIVO
Desarrollo
17.1
18
Arquitectura
Caractersticas que debe contemplar el diagrama de Se debe entregar el mapa de conectividad y equipamiento en
Arquitectura y si es posible, incluir un ejemplo o
el que se muestre la interoperabilidad entre los
mnimos requisitos
contribuyentes, el Proveedor de Servicios y el SAT.
18.1
19.1
19.2
19.3
19.4
19.5
19.6
19
Control de Acceso
19.9
19.10
19.11
19.12
20.1
20.2
20.3
21
Contraseas
Longitud de contraseas y polticas para estructura Cambio de contrasea en el primer inicio de sesin en el
de las mismas, rotacin de contrasea, revocacin sistema.
Se deber de bloquear la clave con un mximo de 3 intentos
de acceso, intentos fallidos, etc.
fallidos.
20.4
20.5
20.6
20.7
Llenado de Formato
21.1
21.2
22.1
El Aplicativo, SO y BD debern contar con Pistas de Auditora
que permitan conocer al menos quin entr, a qu hora
entro y qu hizo.
22.2
22.3
22.4
Pistas de Auditora
Clasificacin de la
Informacin
22
19.8
20
22
Pistas de Auditora
22.5
22.6
22.7
Las Pistas de Auditora del Aplicativo, SO y BD debern estar
restringidas al acceso slo por personal autorizado.
Encripcin de contraseas
23
Encripcin
22.8
22.9
23.1
23.2
24.1
24.2
24.3
24.4
24.5
24.6
Criptografa
Administracin y proteccin de
Certificados Llaves de encriptacin y
passphrases
24
NUEVO!
NUEVO!
NUEVO!
24.7
NUEVO!
24.8
24.9
24.10
24.11
NUEVO!
25.1
25
26
27
Anlisis de
configuracin, pruebas
Evaluacin de la infraestructura de acuerdo a
de penetracin y
estndares de configuracin definidos
anlisis de
vulnerabilidades
Separacin de los
Sistemas y Aplicativos
Configuracin de
Sistemas
25.2
25.3
26.1
27.1
Expiracin de Sesin
27.2
Transferencia de Informacin
27.3
NUEVO!
NUEVO!
NUEVO!
27
Configuracin de
Sistemas
27.4
Bases de Datos
28.1
28
Plataforma
28.2
28.3
28.4
Evaluacin de Seguridad
29
Anlisis de Riesgos
30
Procesos
31
30.1
31.1
32.1
33.1
34.1
32
Controles Actuales
33
Revisin de Controles
34
Entrega de Resultados
35
Identificacin de
Controles Aplicables
36
SOA
37
29.1
35.1
36.1
37.1
37.2
38.1
38.2
38.3
Auditoras Internas
Auditoras efectivas, mediante personal autorizado
El PAC deber asegurar que el personal dedicado a las
y seguimiento
auditoras tiene las capacidades necesarias para evaluar de
manera efectiva los controles. Seguimiento hasta su cierre.
RESGUARDO DE INFORMACIN
Respaldos
38
Tipos de Respaldo
38
Tipos de Respaldo
Ejecucin de Respaldos
39
Periodicidad
Proteccin de Medios.
38.4
39.1
39.2
40.1
40.2
40.3
40.4
Garantizar restauracin
40
Respaldo de Pistas de
Auditoria
41.1
41.2
41
42
Resguardo
Copias
OTROS
41.3
41.4
42.1
42.2
43
43.1
Administracin de
Cambios
44
Capacidades
Incidencias y Problemas
44.1
44.2
44.3
44.4
44.5
44.6
45
Incidencias
45.1
45.2
45.3
46
Problemas
45.4
46.1
46.2
47
Manejo de Licencias
47.1
ELIMINADO!
Controles en la aplicacin
48.1
48.2
48
Seguridad en la
aplicacin
Encriptacin.
La solucin implementada deber cubrir los
siguientes controles sobre encriptacin,
independientemente del tipo de solucin o
arquitectura implementada.
Control de acceso.
La solucin implementada deber cumplir con los
siguientes controles sobre controles de acceso,
independientemente del tipo de solucin o
arquitectura implementada.
48.4
48.5
48.6
48.7
Validacin de entradas.
La solucin implementada deber cumplir con los
siguientes controles sobre validacin de entradas
de datos, independientemente del tipo de solucin
o arquitectura implementada.
48.8
48.9
Codificacin de salidas.
La solucin implementada deber cumplir con los
siguientes controles de codificacin de salidas,
independientemente del tipo de solucin o
arquitectura implementada.
Codificacin de salidas.
Las salidas de informacin debern ser codificadas en un
formato correcto, para prevenir que puedan ser
interpretadas como directivas o instrucciones en el contexto
de la salida. Debern considerarse caracteres especiales,
tales como ",',\n,\x0, u otros.
Criptografa.
La solucin implementada deber cumplir con los
siguientes controles de criptografa,
independientemente del tipo de solucin o
arquitectura implementada. Los mecanismos de
criptografa debern estar alineados a mejores
estndares de seguridad y debern prevenir el
descifrado de llaves.
Criptografa.
Se debern implementar mecanismos de criptografa para
soportar las siguientes funcionalidades:
- Autenticacin de los clientes y PAC.
- No repudiacin de las transacciones.
48.10
48.11
48.12
VALIDACIN TECNOLGICA
Declaracin de
namespaces
Declaracin de namespaces
A.1
Declaracin de
Addenda y sus
namespaces
B.1
Validacin de Datos
requeridos
C.1
Utilizacin de
Utilizacin de caracteres especiales y
caracteres especiales y
secuencias de escape
secuencias de escape
D.1
Caracteres en blanco,
Caracteres en blanco, tabuladores o
tabuladores o retornos
retornos de carro
de carro
E.1
Sellado conforme a la
cadena original para el
CFDI y para el Timbre
Fiscal Digital
Verificacin de la
validacin de cada
comprobante
Cliente Gratuito
Validacin de flujos
Validacin de la creacin de un CFDI desde Cumplimiento del paso por cada componente que
el contribuyente hasta su almacenamiento integre el servicio de punta a punta. Otorgar al
en el SAT
SAT usuarios para realizar pruebas
Conexin Remota
Manuales de Usuario
F.1
G.1
H.1
I.1
J.1
K.1
NUEVO!
NUEVO!
Manuales de Usuario
Confidencialidad y
Niveles de Servicio
K.2
K.3
L.1
L.2
El aspirante debe documentar todo el personal que interviene en el proceso de CFDI y notificar al SAT cuando existan cambios.