x

MATRIZ DE CONTROLES DE SEGURIDAD

Manifiesta mi representada que cumple completamente con los puntos contenidos en esta matriz de control y que cuenta con evidencia del cumplimiento
de cada uno de los puntos ah expresados.

Alcance: "Estos controles aplican a toda la infraestructura y aplicaciones que soportan los servicios que el proveedor otorga en nombre del
SAT"
ID
Control

Control

Descripcin

Criterio de Revisin

ID
Sec

Revisin

INFRAESTRUCTURA TECNOLGICA
Centro de Cmputo

Ubicacin Fsica

Ubicacin del Centro de cmputo libre de riesgos

de alto impacto

El Centro de Cmputo deber estar alejado como mnimo

100mts de lugares de alto riesgo como gasolineras, bancos,
gaseras, etc.
El Centro de Cmputo debe estar asentado en lugares libres
de alto riesgo como minas, acometidas de cableado de luz y
gas, etc.
El Centro de Cmputo debe contar con proteccin perimetral
adecuada que impida el acceso fcil desde el exterior y de ser
posible, debe tener algn elemento adicional de proteccin
como malla de picos, malla elctrica, etc.

Estructura

Centro de Cmputo con proteccin estructural,

perimetral, y con material seguro en muros,
proteccin en rejas, etc.

El Centro de Cmputo debe contar con sistema contra

incendios (Gas FM200), detectores de humo.
El Centro de Cmputo debe contar con cableado
estructurado que cubra la necesidad de continuidad en el
servicio de Telecomunicaciones.
Para el centro de cmputo se debe contemplar seguridad de
interconectividad.

Infraestructura

El Centro de Cmputo debe contar con los

elementos fsicos de seguridad necesarios para su
proteccin y contra cualquier contingencia.

El Centro de Cmputo debe contar con un adecuado sistema

de aire acondicionado para evitar problemas de
sobrecalentamiento en el equipo.
Restriccin de acceso de medios de almacenamiento a
personal externo e interno que acceda al Centro de
Cmputo.
Revisiones peridicas por parte de la Unidad Verificadora de
Instalaciones Elctricas u otro rgano de revisin y validar
que el sistema de tierra de seguridad mantiene valores
menores a 2 ohms.
El sistema elctrico debe ser monitoreado en lnea por un
sistema automatizado integrado al sistema de monitoreo
general del Centro de Datos.

Instalacin elctrica

1.2

Instalacin elctrica, rieles para el cableado, plantas El Centro de Cmputo debe contar con Equipamiento
de energa de emergencia, corriente regulada, etc. elctrico que permita mantener la continuidad del servicio.

El Centro de cmputo est ubicado en un lugar seguro?

Hay una distancia mnima de infraestructura de alto riesgo
de por lo menos 100 mts?

1.3

El Centro de cmputo se encuentra asentado en lugar

seguro? es visible a simple vista o est en una instalacin no
evidente?

2.1

La proteccin perimetral impide el acceso desde el exterior?

2.2

Si es una barda, la barda tiene mnimo 3 metros de altura?

2.3

Cuenta con malla de picos, elctrica, otra?

2.4
El Centro de Cmputo debe contar con paredes de concreto,
puerta blindada, piso falso, acceso ya sea por sistema
biomtrico o tarjeta de proximidad o mnimo, con acceso por
teclado.

1.1

El Centro de Cmputo cuenta con paredes de concreto?

2.5

Cuenta con puerta blindada?

2.6
2.7

Acceso Electrnico? Qu tipo?

El piso falso es modular sin permitir espacio entre los
mdulos?

3.1

Seguridad contra incendios mnimo FM200?

3.2

Instalacin de cableado estructurado por personal certificado.

3.3

Los equipos de comunicaciones deben estar interconectados

por fibra ptica o UTP categora 6 gigabit.

3.4

Cuenta con aire acondicionado que enfre los equipos de

cmputo y comunicaciones?

3.5

Contar con un procedimiento de revisin para restringir o

autorizar el acceso de medios de almacenamiento (discos
duros porttiles, USB, celulares, Blackberry).

3.6

Revisin semestral de las instalaciones elctricas

3.7

Evidencia del monitoreo en lnea al sistema de monitoreo

general del Centro de Datos.

4.1

Equipo UPS para soportar continuidad al menos por 30

minutos.

Cumple/ No Cumple

Observaciones

Tipo de Control

Instalacin elctrica

Instalacin elctrica, rieles para el cableado, plantas El Centro de Cmputo debe contar con Equipamiento
de energa de emergencia, corriente regulada, etc. elctrico que permita mantener la continuidad del servicio.

4.2
4.3

Mantenimiento

Los dispositivos y controles debern recibir

mantenimiento peridico, de acuerdo con las
especificaciones del fabricante

Planes de Continuidad y Contar con la documentacin del Plan de

Continuidad de Negocio (BCP) y Plan de
de Recuperacin en
Recuperacin en Caso de Desastres (DRP)
Caso de Desastres

Planta de energa que permita mantener la continuidad del

servicio por al menos 1 da y con capacidad de recarga de
combustible.
Se cuenta con alimentacin elctrica de dos fuentes
redundantes.

5.1

Los planes de mantenimiento son actualizados por lo menos

anualmente? Evidencia.

5.2

Los equipos UPS y Planta de emergencia se prueban por lo

menos cada 3 meses?
- Registro de pruebas
con al menos Fecha y hora de la prueba. Responsable de la
ejecucin de las pruebas. Momento de corte de corriente.
Desempeo de los equipos UPS (tiempo total del corte de
corriente/Capacidad de carga final). Momento del Inicio de la
planta. Capacidad de combustible de la planta al inicio de la
prueba. Capacidad de combustible de la planta al final de la
prueba. Observaciones. Firma del personal del centro de
datos responsable de la prueba. .

Documentacin necesaria de BCP que consideran las

aplicaciones e infraestructura requerida para garantizar la
continuidad de la operacin.

6.1

Se cuenta con la Documentacin del Plan de Continuidad de

Negocio en el que se incluye el Centro de Cmputo,
infraestructura, Equipamiento, Aplicativo, SO y BD?

Los planes de continuidad son probados al menos

anualmente para verificar su efectividad y eficiencia, y las
desviaciones son atendidas de manera inmediata, las
desviaciones son solventadas en menos de 3 meses.

6.2

Evidencia de pruebas realizadas.

Documentacin necesaria de DRP que consideran las

aplicaciones e infraestructura requerida para garantizar la
continuidad de la operacin.

6.3

Se cuenta con la Documentacin del Plan de Recuperacin en

Caso de Desastres en el que se incluye el Centro de Cmputo,
infraestructura, Equipamiento, Aplicativo, SO y BD?

Los planes de continuidad son probados al menos

anualmente para verificar su efectividad y eficiencia, y las
desviaciones son atendidas de manera inmediata, las
desviaciones son solventadas en menos de 3 meses.

6.4

Evidencia de pruebas realizadas.

El Centro de Cmputo debe contar seguridad en los

dispositivos de telecomunicaciones, cuarto de control
protegido, y garantizar la continuidad de las
telecomunicaciones.

7.1

Segmentacin de redes en zonas, implementando

dispositivos firewall para restringir el acceso a los sistemas
que almacenan y procesan la informacin relacionada con el
SAT,CFDI y contribuyentes.

7.2

La infraestructura de red se ha configurado para que

nicamente sistemas e individuos autorizados tengan acceso
a los sistemas con informacin relacionada con el SAT,CFDI, y
contribuyentes.

7.3

Inspeccin en sitio de los equipos, y/o ejecucin de comandos

para extraer la configuracin de los dispositivos de red.

8.1

Se cuenta con guardias de seguridad en cada punto de

control para proteger las instalaciones y asegurar el acceso
controlado?

8.2

El personal de seguridad cuenta con equipo de

comunicaciones y seguridad, as como acceso a nmeros de
emergencia?

8.3

Se cuenta con bitcora de acceso tanto a las instalaciones

como al centro de cmputo? Las bitcoras deben indicar al
menos el nombre de la persona que acces, hora y fecha de
entrada, motivo, persona que autoriza su acceso si es que no
tiene acceso permanente, personal policial que lo acompa,
firmas de ambos.

8.4

La persona que accede entrega credencial oficial con

fotografa? Evidencia.

El Centro de Cmputo debe contar con un Plan de

Mantenimiento para los equipos, cableado, sistemas contra
incendio, plantas, etc.

Telecomunicaciones

Servicio de
Telecomunicaciones

Infraestructura de telecomunicaciones, proteccin

de dispositivos, etc. Implementacin de dispositivos
y controles para prevenir el acceso no autorizado a
los sistemas. Segmentacin de redes

Inspeccin fsica del cuarto de comunicaciones para verificar

que cumpla con los requerimientos de seguridad definidos.
Inspeccin fsica y documental para verificar la segmentacin
de redes e implementacin de dispositivos de red para
restringir el acceso a los sistemas con informacin relacionada
con el SAT,CFDI, y contribuyentes.

Control de Acceso
El Centro de Cmputo debe contar con personal de vigilancia
de manera permanente, y suficiente para asegurar el acceso
controlado y seguro, as como con personal de seguridad
que monitoree las instalaciones para atender problemas.

Personal de seguridad permanente, procedimientos

Seguridad fsica policial de vigilancia y acceso a las instalaciones mediante

bitcoras, gafetes, credenciales, etc.
Toda persona que acceda al Centro de Computo y en general
a las instalaciones, deber registrar su acceso en una
bitcora destinado para ello.

Personal de seguridad permanente, procedimientos

Seguridad fsica policial de vigilancia y acceso a las instalaciones mediante

bitcoras, gafetes, credenciales, etc.
Toda persona que acceda al Centro de Computo y en general
a las instalaciones, deber registrar su acceso en una
bitcora destinado para ello.

Sealizacin

8.5

Se cuenta con seguridad para el resguardo de la bitcora? Se

mantienen los registros de acceso de los ltimos 6 meses?
Evidencia.

Las instalaciones deben contar con sealizacin que indique

claramente reas sensibles y reas restrictivas a los visitantes
y personal no autorizado.

9.1

Se cuenta con sealizacin clara y distincin cdigo de

colores de reas crticas de acceso controlado?

Las puertas de emergencia de las instalaciones y lugar de

resguardo de equipo contra incendio y dems equipo para
uso en caso de emergencias, debe estar perfectamente
sealizado.

9.2

Inspeccin fsica y/o documental para asegurar que las

instalaciones del centro de cmputo y de las instalaciones en
general, cuentan con sealizacin clara sobre rutas de
evacuacin y en general de las instalaciones.

9.3

Inspeccin fsica y/o documental para verificar que las puertas

de emergencia:
- No pueden ser abiertas desde el exterior.
- Activan una alarma visual y sonora a su apertura.

9.4

El personal que accede al Centro de Cmputo y a las

instalaciones, porta en todo momento durante su estancia
gafete o credencial autorizada?

9.5

El personal de la empresa que no cuenta con credencial,

tambin deja identificacin oficial con fotografa y los canjea
por gafete autorizado.

10.1

El acceso a las instalaciones y al centro de cmputo, es

mediante dispositivos de control de acceso electrnicos,
biomtricos, etc.? Cul(es)?

10.2

La informacin de acceso que se registra indica persona que

accede e informacin completa de la persona, fecha y hora.

10.3

El personal de acceso al centro de cmputo es reducido y se

justifica por razones operativas o del negocio.
Los registros estn protegidos y se evita su posible
modificacin o eliminacin? Evidencia.

Centro de cmputo seguro e instalaciones en

general sealizado, que indiquen reas seguras y/o
Las puertas nicamente pueden ser abiertas desde el interior
crticas
del inmueble, y emiten una alarma sonora a su apertura.

Distincin de reas en los gafetes que se le entregan al

personal visitante o a empleados sin credencial autorizada.

10

Control de Acceso
Electrnico

Mecanismos de control de acceso electrnicos,

biomtricos o de tarjetas de proximidad para
acceso, puertas con dispositivos o teclados de
combinacin numrica, etc.

Se requiere que tanto para acceso al centro de cmputo

como en general para las instalaciones, se cuente con
mecanismos electrnicos, biomtricos, de tarjetas de
proximidad o mnimo de teclado electrnico para el control
de acceso.

10.4

11

Visitas, proveedores

Los accesos por mantenimiento, fallas y otros,

Toda persona que acceda al Centro de Cmputo ya sea por
deben ser controlados y acompaados por personal visita, mantenimiento a equipo, infraestructura, sistemas,
de seguridad
etc. o por contingencia, deber ser acompaado por
personal de vigilancia para verificar los trabajos realizados.

11.1

12.1

12

Cmaras de Seguridad

Vigilancia electrnica mediante videos de

seguridad, su respaldo y resguardo

El Centro de Cmputo y en general las instalaciones debern

contar con cmaras de vigilancia cuyo mecanismo deber ser
resguardado y administrado correctamente, tanto para su
uso como para las cintas de respaldo y su resguardo.

12.2

Existen bitcoras, videos o cualquier evidencia de que el

personal policial acompaa a los visitantes al Centro de
Cmputo? Cul(es) es(son)?

Existen Cmaras de Vigilancia para acceso y movimientos en

las instalaciones y Centro de cmputo? Identificarlas y
mostrar cuarto de control
Existen bitcoras o evidencia de que se llevan a cabo
respaldos de los videos de las cmaras de Seguridad?
Periodicidad de los respaldos?

12.3

Los videos son resguardados en lugar seguro?

12.4

Se guarda una copia en lugar distinto a las instalaciones

principales?

El Aplicativo deber estar alojado en equipo de cmputo

actualizado y que cuente con los elementos que garanticen
el rendimiento y funcionalidad requeridos por el aplicativo y
sobre todo por el servicio.

13.1

Evidencia documental del registro del modelo del equipo, el

tamao de la memoria y capacidad en disco duro y del anlisis
de dimensionamiento inicial de los requerimientos de
hardware y software.

Configuraciones para protegerse de posibles ataques fsicos.

13.2

Mantener actualizado el firmware, establecer contraseas

complejas para el arranque del equipo y la configuracin de la
BIOS, deshabilitar el inicio de sistema desde cualquier unidad
que no sea el disco duro principal, deshabilitar los dispositivos
USB. Evidencia de las actualizaciones y configuraciones base.

Instalacin del sistema operativo.

13.3

Generar una particin exclusiva para el sistema operativo. No

instalar componentes de sistema que no sean necesarios para
el funcionamiento del aplicativo (puertos y servicios
innecesarios).

Configuracin adecuada de servicios de actualizaciones

automticas.

13.4

Debe contar con un servidor de actualizaciones para

mantener actualizadas todos las actualizaciones del
fabricante. Probar en entorno controlado las actualizaciones
antes de instalarlas. Evidencia.

Equipo de Cmputo

13

Tecnologa Actualizada Equipo de cmputo actualizado

13

14

15

Tecnologa Actualizada Equipo de cmputo actualizado

Sistema Operativo

Capacidad

Versin actualizada

Especificaciones tcnicas actualizadas

Instalacin, configuracin y actualizacin de programas de

seguridad.

13.5

Contar con agentes de seguridad como antivirus, antispyware

y HIPS Detector de Intrusos de Host. Evidencia.

Firewalls locales (proteccin en la DMZ).

13.6

-Ipsec
Reglas de entrada y salida de trfico
Cifrado de comunicaciones
Evitar conexiones a sistemas no autorizados
-Windows Firewall / IPTable
Definicin de aplicaciones vlidas

Renombrar el usuario Administrador y posterior deshabilitar

las cuentas estndar del sistema.

13.7

Demostrar que estn renombrados el Administrador e

invitado.

Configuracin de los protocolos de Red.

13.8

Deshabilitar todos aquellos protocolos de red innecesarios en

el sistema y limitar el uso de los mismos al de TCP/IP.

Configuracin de acceso remoto.

13.9

Es recomendable deshabilitar el acceso remoto, a menos que

sea estrictamente necesario. Sin embargo, cuando es
necesario tener control remoto de la mquina, es preciso
configurarlo de manera adecuada, restringiendo el acceso a
un nmero muy limitado de usuarios, restringiendo al mnimo
las conexiones concurrentes, tomando cuidado en la
desconexin y cierre de sesin y estableciendo un canal
cifrado de comunicaciones para tales propsitos, como SSH
(en caso de Linux o Unix).

El sistema operativo instalado en el equipo deber ser el

adecuado para su correcto funcionamiento.

14.1

Indicar con qu versin de SO cuenta el equipo.

15.1

Se han definido procedimientos y herramientas para

monitorear la capacidad de la infraestructura tecnolgica y
determinar si se requiere incrementar la capacidad para
cumplir con los requerimientos actuales y futuros de la
operacin? Como mnimo se debe registrar tiempos de
procesamiento, Capacidad de almacenamiento, Enlaces de
redes.

La infraestructura y el equipo de cmputo deber contar con

el control de capacidades y rendimiento.
15.2

15.3

16.1

16

Retiro de Discos

Documentacin y polticas para el retiro de discos

duros, cintas, discos ptimos y cualquier otro
medio electrnico directamente ligado al proceso

Se debe contar con el registro de todos los medios

electrnicos que tienen relacin con el proceso, adems de
contar con procedimientos para el retiro de los medios
electrnicos ya sea por dao, obsolescencia o que se haya
cubierto su vida til.

16.2

16.3

17

Servidor de Tiempo

APLICATIVO
Desarrollo

Integracin de un servicio de tiempo GPS

El proveedor debe contar con un servidor de tiempo NTP,

con una sincronizacin por medio de un GPS en su
infraestructura.

17.1

Inspeccin documental de archivos de configuracin y/o

entrevistas con el personal del PAC para determinar si se han
implementado procedimientos para la evaluacin semestral
de indicadores clave de operacin de la infraestructura en
relacin con los requerimientos actuales y las tendencias de
crecimiento identificadas.
Inspeccin de documentacin sobre los anlisis realizados, las
decisiones y los planes de accin para determinar si se han
tomado acciones para atender las desviaciones.

Se cuenta con un registro de inventario de los medios

empleados? El registro debe contener al menos Tipo de
medio, tipo de informacin almacenada.
Se cuenta con un registro de los medios destruidos? El
documento como mnimo deber contener la firma del
responsable, motivo de la baja de los medios, el nombre del
responsable, cantidad de dispositivos, fecha, hora y
comentarios adicionales.

Se destruye el medio en caso de obsolescencia, por dao o al

haber cubierto su vida til? Indicar proceso y generar Acta de
Destruccin o documento que avale y deje constancia de la
accin.

Se cuenta con un servidor de tiempo NTP sincronizado a

travs de GPS.

18
Arquitectura

Caractersticas que debe contemplar el diagrama de Se debe entregar el mapa de conectividad y equipamiento en
Arquitectura y si es posible, incluir un ejemplo o
el que se muestre la interoperabilidad entre los
mnimos requisitos
contribuyentes, el Proveedor de Servicios y el SAT.

Mecanismo de Administracin y Control de Acceso

Polticas de Control de Acceso

18.1

Se cuenta con diagrama de Arquitectura?

Entrega de documentacin que indique la administracin de

claves de acceso. Implementacin de Controles para el Alta,
Cambios y Baja de los usuarios.

19.1

Documentacin de los procedimientos del mecanismo de

control de acceso que indique cmo se lleva a cabo la accin.

Implementacin de Controles y reglas para el Alta, Cambios y

Baja de los usuarios.

19.2

Se especifican las reglas para el alta, baja y cambios de claves

de acceso? Mostrar Procedimiento.

Las claves de acceso estarn sujetas a las polticas de control

de acceso, cancelacin de claves, baja por rotacin o salida
de personal.

19.3

Se deber bloquear la clave de acceso al existir un mximo

de 3 intentos fallidos.

19.4

Se deber dar de baja la clave de acceso, por un mnimo de

30 das de inactividad.

19.5
19.6

19

Control de Acceso

Las polticas de control de acceso debern ser revisadas y

actualizadas por lo menos cada 6 meses.
19.7

Definicin de longitud de claves, estructura de

claves.

Las claves de acceso deben ser de fcil definicin para que

estas puedan ser fcilmente identificadas.

19.9

La construccin de las claves de acceso impide que sea la

misma que el usuario o que sea un espacio en blanco?

19.10

Se debe seguir un estndar institucional para la creacin de

cuentas de acceso, por ejemplo el uso de RFC corto.
Se emiten responsivas cada vez que se asigna una nueva
clave de acceso?

Las claves de acceso estn conformadas por 8 caracteres?

La asignacin de las claves de acceso, debern estar

respaldadas por sus respectivas Responsivas de asignacin y
uso de claves.

19.11
19.12

Existe un procedimiento para la asignacin y seguimiento de

las responsivas de control de acceso?

20.1

Las contraseas de acceso son de al menos 8 caracteres?

Las contraseas de acceso incluyen al menos una
mayscula?

20.2
20.3

21

Contraseas

Longitud de contraseas y polticas para estructura Cambio de contrasea en el primer inicio de sesin en el
de las mismas, rotacin de contrasea, revocacin sistema.
Se deber de bloquear la clave con un mximo de 3 intentos
de acceso, intentos fallidos, etc.
fallidos.

20.4
20.5

El sistema obliga al usuario a cambiar la contrasea una vez

que el usuario realiz el primer inicio de sesin en el sistema?
La clave de acceso es bloqueada al fallar mnimo en tres
ocasiones seguidas?

20.6

El sistema de control de acceso obliga al usuario a cambiar su

contrasea mnimo cada 30 das?

El aplicativo no deber permitir repetir una contrasea al

menos en tres ocasiones.

20.7

El sistema de control de acceso impide al usuario ingresar

una contrasea igual, como mnimo tres veces anteriores ?

Llenado de Formato

Se deber llenar adecuadamente el formato de clasificacin

de la informacin, de tal forma que se pueda llevar con esto
el Anlisis de Riesgos.

21.1

Se cuenta con el inventario del Proceso y Activos de

Informacin delCFDI, debidamente requisitado?

Respaldo del llenado de informacin

El formato de clasificacin de la informacin deber ser

debidamente llenado y firmado por el responsable del
proceso que aplica para el manejo de losCFDI.

21.2

El formato de Clasificacin se apega mnimo a los criterios del

IFAI? Fue llenado y firmado por el responsable del proceso
deCFDI?

22.1
El Aplicativo, SO y BD debern contar con Pistas de Auditora
que permitan conocer al menos quin entr, a qu hora
entro y qu hizo.

22.2
22.3
22.4

Pistas de Auditora

Las contraseas de acceso incluyen al menos un caracter

especial?

La contrasea deber expirar en un mximo de 30 das, lo

que forzar a teclear una nueva contrasea.

Clasificacin de la
Informacin

22

Depuracin de claves de acceso de acuerdo a los

movimientos registrados por el rea de RH, considerando
autorizaciones de reas de Negocio.

19.8

Las contraseas de acceso debern tener al menos 8

caracteres y estar compuesto por al menos una mayscula,
un caracter especial y un nmero.

20

Las polticas de control de acceso son revisadas por lo menos

cada 6 meses? Evidencia.

Las claves de acceso debern estar compuestas de 8

caracteres para su adecuada administracin.

Estndares para la creacin de cuentas.

Administracin, asignacin y procedimiento de
claves. Revisin peridica de los accesos provistos,
dando seguimiento a las desviaciones

Se requiere evidencia (formatos, manuales, otro) de las altas,

bajas, cambios autorizados. Identificar claramente la solicitud,
el solicitante, los roles solicitados, el autorizador y su firma o
Vobo de autorizacin.
El mecanismo de control de acceso bloquea la clave al fallar
mnimo en 3 intentos?
La clave se da de baja por inactividad mnimo en 30 das? El
proceso es manual o es automtico?

Bitcoras de Seguimiento y Auditora para el

Aplicativo, Sistema Operativo (SO) y Base de Datos
(BD)

Estn habilitadas las Pista de Auditoria del Aplicativo,

Sistema Operativo y Base de Datos, de tal forma que se le
pueda dar seguimiento a accesos de Sper Usuario y de
usuarios privilegiados y con permisos de sper usuario?
La pista de auditoria indica quin ejecut una accin o
transaccin?
La pista de auditoria indica la fecha y la hora de ejecucin de
una accin o transaccin?
La pista de auditoria indica qu accin o transaccin se
ejecut?

22
Pistas de Auditora

Bitcoras de Seguimiento y Auditora para el

Aplicativo, Sistema Operativo (SO) y Base de Datos
(BD)

El acceso a las pistas de auditora del Aplicativo, SO y BD slo

deber estar permitido para el usuario autorizado de
auditora y al sper usuario.

22.5

El acceso a las pistas de auditora de BD estn restringidas

slo al Sper usuario o al Usuario Privilegiado del Aplicativo,
SO y BD?

Las pistas de Auditora del Aplicativo, SO y BD debern

almacenar informacin de al menos 6 meses de antigedad.

22.6

Las pistas de auditoria reflejan informacin de hasta 6 meses

de antigedad?

22.7
Las Pistas de Auditora del Aplicativo, SO y BD debern estar
restringidas al acceso slo por personal autorizado.

Encripcin de contraseas

23

Encripcin

Las contraseas de acceso debern estar encriptadas para

evitar su posible conocimiento por personal no autorizado.

22.8
22.9

Las pistas de auditora dejan registrada la direccin IP del

equipo en donde se ejecut la accin o transaccin.

23.1

Se encriptan las contraseas para evitar el conocimiento de

las mismas ante un acceso indebido?

23.2

Est encriptada la informacin clasificada como altamente

sensible, como mnimo debe ser la relacionada con la
informacin del SAT,CFDI y en general de los contribuyentes.

La informacin clasificada como altamente sensible, deber

Encripcin de informacin sensible en BD, Pistas de
estar encriptada para evitar su posible conocimiento por
Auditora, envo de informacin, pginas Web, etc.
personal no autorizado.
23.3

24.1

24.2

Se mantiene un registro de los hashes de control de llaves,

certificados y otros elementos de criptografa? Los hashes son
verificados semanalmente y se mantiene registro de las
revisiones mediante documentos o correos electrnicos,
especificando Llaves o certificados evaluados, Hashes de
control esperados, Hashes de control obtenidos.

24.3

Se generan tickets de incidente o documentacin formal para

el seguimiento realizado a las deviaciones, especificando las
actividades seguidas para la solucin.

24.4

Inspeccin fsica de la ubicacin donde se encuentre el

dispositivo que almacena la llave privada del certificado
digital. Evaluar que no haya personal operando o transitando
en la ubicacin. Evaluar que se tenga registro de accesos.
Evaluar que se tenga un esquema de monitoreo en dicha
zona.

El acceso lgico y las operaciones en el dispositivo donde se

almacena la llave privada del certificado digital que el SAT
emiti al PAC debe registrarse.

24.5

Registro o bitcora de accesos lgicos al dispositivo donde se

almacena la llave privada as como de las operaciones que se
realizan en dicho dispositivo.

El acceso al dispositivo que contiene la llave privada del

certificado emitido por el SAT debe realizarse a travs de una
autenticacin de la identidad de la persona que accede a
dicho dispositivo.

24.6

Criptografa

Se mantiene registros de los hashes de control para llaves,

certificados, y otros elementos de criptografa para asegurar
la integridad de los mismos.

Administracin y proteccin de
Certificados Llaves de encriptacin y
passphrases

Estn encriptados los medios removibles y los equipos

porttiles que contengan informacin clasificada o reservada
para evitar su acceso ante un incidente, robo, extravo o
acceso no autorizado?
Inspeccin de los directorios y herramientas empleadas para
la administracin de llaves de encriptacin y passphrases para
confirmar que nicamente personal autorizado tiene acceso a
las mismas y que se tienen controles de acceso robustos para
las llaves de comunicacin y certificados provistos por el SAT y
por los contribuyentes.

Son resguardados los certificados, llaves de encriptacin y

passphrases de manera segura mediante controles de
acceso, de manera que nicamente personal autorizado
tiene acceso a las mismas? Evidencia.

24

Las pistas de auditora en lnea slo pueden ser accedidas

mediante un usuario autorizado para ello? Mostrar evidencia
de este tema y hacer pruebas
Existe un mecanismo que deje evidencia del acceso a las
pistas de auditora del aplicativo?

La ubicacin fsica en donde se encuentre almacenada la

llave privada del certificado digital que el SAT emiti al PAC,
debe encontrarse segregada. No debe haber personal
operativo de forma regular. Debe mantenerse un registro de
los accesos. No debe ingresar personal no monitoreado a esa
zona.

NUEVO!

NUEVO!

Pruebas de autenticacin de identidades al dispositivo que

almacena la llave privada.

NUEVO!

La capacidad de ejecucin de tareas a realizar en el

dispositivo que almacena la llave privada del certificado
emitido por el SAT debe ser definida basada en roles. Los
roles de gestin y configuracin de parmetros de seguridad
deben ser asignados a personal restringido con autorizacin
y responsabilidad claramente asignada.

24.7

Pruebas de segregacin de los roles de acceso al dispositivo.

Matriz con roles asignados. Documentacin de asignacin de
responsabilidades al personal que gestiona el dispositivo y los
parmetros de seguridad y cartas de dicho personal
aceptando la responsabilidad y posibles consecuencias de
actuacin incorrecta.

NUEVO!

24.8

Revisin de las caractersticas tcnicas del dispositivo que

almacena la lalva privada. El dispositivo debe estar recubierto
con algn material opaco y debe contar con salvaguardas que
impidan que sea abierto o que invaliden la informacin en
caso de que sea forzado.

24.9

Los parmetros crticos de seguridad debern ser

ingresados/extrados ya sea a travs de puertos fsicos
exclusivos para dicho propsito y separados de los dems,
deben ser ingresados/extrados en una forma encriptada (ya
sea a travs de dispositivos adicionales o perifricos) o
ingresados/extrados directamente del dispositivo (sin
dispositivos adicionales o perifricos) a travs de un
procedimiento de conocimiento dividido (varios tokens o
contraseas que poseen diferentes individuos)

Ingreso de la llave privada del certificado emitido por el SAT

24.10

Debe registrarse formalmente el procedimiento de ingreso de

la llave privada. Esto se realizar frente a un testigo
independiente y se generar un acta en la cual los
participantes firmarn que han atestiguado dicho ingreso y
que la llave no fue copiada ni ha sido comprometida.

Ubicacin de la llave privadad del certificado emitido por el

SAT

24.11

El dispositivo que almacena la llave privada del SAT debe

contar con recubrimiento especial, sensible, que prevenga
que el dispositivo sea abierto, o que al ser abierto, impida el
acceso a la informacin

NUEVO!

Administracin de parmetros crticos de seguridad (tal

como la llave privada) en el dispositivo que almacene dicha
llave.

25.1

25

26

27

Anlisis de
configuracin, pruebas
Evaluacin de la infraestructura de acuerdo a
de penetracin y
estndares de configuracin definidos
anlisis de
vulnerabilidades

Separacin de los
Sistemas y Aplicativos

Configuracin de
Sistemas

La infraestructura deber ser evaluada trimestralmente para

asegurar que cumple con los estndares de configuracin
definidos y para para identificar vulnerabilidades. Dar
seguimiento a las desviaciones identificadas.

Prevenir que la infraestructura y aplicaciones

relacionadas con la prestacin del servicio sean
empleadas para otros fines, o se comparta la
infraestructura, o use para propsitos ajenos al
servicio.

La organizacin emplea infraestructura y aplicaciones

exclusiva para soportar el servicio, con el objetivo de
prevenir accesos a la misma por personal no relacionado con
el servicio, o la explotacin , modificacin o extraccin de
informacin de manera intencional o no intencional.

Lineamientos de configuracin base para los

sistemas

Establecer lineamientos de configuracin base para los

sistemas que soportan la operacin, especificando polticas
de contrasea, privilegios de acceso, servicios autorizados,
mecanismos de proteccin, niveles de actualizacin, etc.

Una vez ingresada la llave privada al dispositivo que la

almacenar, sta ya no se almacenar en ningn otro
dispositivo.
Informes, reportes o documentacin de las evaluaciones
efectuadas, pruebas y anlisis.

25.2

Documentacin sobre el seguimiento y acciones a tomar para

mitigar las vulnerabilidades encontradas a raz de las pruebas
de vulnerabilidades y pruebas de penetracin que incluyan
responsable, accin a ejecutar y fecha lmite as como la
evidencia de la ejecucin de las mismas.

25.3

Procedimientos definidos para la instalacin de parches para

la correccin de las vulnerabilidades, incluyendo con la
definicin de ventanas de tiempo para su instalacin y
evidencia de pruebas en ambientes de calidad antes de migrar
a produccin.

26.1

Inspeccin de la configuracin de la infraestructura y

aplicaciones para confirmar que la misma no se utiliza para
fines ajenos a la prestacin del servicio.

27.1

Evidencia de la configuracin de servicios activos y

justificacin de cada uno de ellos.

Expiracin de Sesin

El aplicativo debe realizar una administracin de las sesiones,

de tal manera que garantiza que las cookies de sesin
cuentan con un periodo de caducidad y la sesin expira en
un tiempo determinado.

27.2

El aplicativo debe contar con la caracterstica de sesin

expirada en un tiempo determinado. Presentar evidencia y el
tiempo configurado.

Transferencia de Informacin

El aplicativo debe realizar la transferencia de informacin por

protocolos seguros como https, en el cual se codifiquen la
sesin con certificados digitales.

27.3

La transferencia de informacin se debe llevar a cabo por un

mecanismo seguro de conexin como https. Presentar
evidencia.

NUEVO!

NUEVO!
NUEVO!

27

Configuracin de
Sistemas

Documentacin de Lnea base

Documentacin formal y autorizada de los Baselines para la

configuracin a nivel sistema operativo, BD, comunicaciones,
etc.

27.4

Documentacin de los Base Lines de SO, BD y

Comunicaciones.

Bases de Datos
28.1

28

Plataforma

Documentacin e informacin de Plataforma de

Base de Datos

Se debe documentar y explicar la plataforma de Base de

datos empleada para sustentar y soportar la informacin del
sistema deCFDI.

28.2
28.3

28.4

Indicar cul es la plataforma de BD que se est empleando y

que se cuenta con la Versin actualizada.
Se cuenta con diagramas Entidad-Relacin, diccionario de
datos y documentacin de roles y perfiles de acceso a la base
de datos.
Se cuenta con la documentacin del proceso de actualizacin
de parches.
Se cuenta con la documentacin del proceso de control de
cambios y del proceso de autorizacin de creacin de objetos,
del borrado en la BD y de acceso a la informacin.

Evaluacin de Seguridad
29

Anlisis de Riesgos

30

Procesos

31

Anlisis del Sistema de Gestin, sus amenazas,

vulnerabilidades y Riesgos

Se debern definir las amenazas, vulnerabilidades y riesgos,

con el fin de poder llevar a cabo un anlisis de riesgos
adecuado.

Identificacin de procesos y documentacin de los

mismos.

Se deber identificar y clasificar adecuadamente el proceso

de administracin deCFDI.

30.1

El Proceso deCFDI est adecuadamente documentado?

Evidencia de la documentacin del proceso.

Identificacin de los Activos de Informacin y

Se debern tomar en cuenta los datos capturados para los

Activos de Informacin.

31.1

Los datos capturados son los adecuados para llevar a cabo el

anlisis de riesgos. Evidencia y ejemplo de los datos.

Empleando la informacin vaciada en el formato de

Clasificacin de la Informacin, se deber llevar a cabo el
anlisis de riesgos y de esta forma conocer la ausencia o
carencia de controles de seguridad.

32.1

Se cuenta con una metodologa para llevar a cabo el anlisis

de riesgos? Mostrar metodologa y evidencia de cmo se
sigue.

33.1

Los controles documentados y evaluados estn claramente

definidos y evaluados? Mostrar evidencia de los controles
inventariados.

34.1

La documentacin resultante del anlisis de riesgos arroja

resultados claros y concluyentes? Mostrar documentacin de
resultados.

Activos de Informacin documentacin de los mismos.

32

Controles Actuales

Identificacin de Controles Actuales y su grado de

implementacin.

33

Revisin de Controles

Revisin de informacin y evaluacin del nivel de

Control implementado

34

Entrega de Resultados

35

Identificacin de
Controles Aplicables

Controles aplicables al sistema de gestin

36

SOA

Plan de implementacin de controles

Se deber llevar a cabo una revisin de los controles

existentes y evaluar el nivel de implementacin.
La entrega de resultados del Anlisis de Riesgos deber estar
Entrega de Documento de resultados del Anlisis de acompaada de la documentacin que indique claramente
los riesgos detectados, la ausencia de controles y el mapa de
Riesgos
riesgos.

Auditoras peridicas para evaluar mejoras en la

seguridad

37

Se debern identificar los controles aplicables, de tal forma

que se lleve a cabo un Plan de Trabajo para la
implementacin y mitigacin de riesgos de seguridad.

29.1

35.1

Est definido y documentado el catlogo de amenazas

vulnerabilidades y riesgos? Evidencia de la clasificacin.

Existe un Plan de Trabajo para mitigar riesgos a travs de los

resultados del anlisis de Riesgos y los controles detectados?
Mostrar Plan de Mitigacin de Riesgos.

Se deber generar una matriz de controles por dominio, el

cual permita identificar en que parte estos debern ser
implementados, en qu parte no aplican y/o no es necesario
invertir esfuerzo en su implementacin.

36.1

Existe la matriz que indique especficamente qu controles

implementar en cada Sistema de Gestin? Mostrar matriz.

El PAC deber garantizar que se llevan a cabo auditoras

semestrales para todos los controles, las auditoras debern
ser realizadas por un equipo independiente de la operacin.

37.1

Existe registro de las evaluaciones semestrales para el

mejoramiento de la seguridad a travs de la implementacin
o mejoramiento de controles? Mostrar documentacin que lo
certifique.

37.2

Existe personal capacitado para llevar a cabo las auditoras

de seguimiento? Mostrar evidencia de certificacin o
experiencia del personal. Las certificaciones pueden ser: CISA,
CISSP, CRISK, Lead Auditor ISO27001:2005.

Se debern llevar a cabo respaldos de Sistema Operativo,

Base de Datos y del Aplicativo.

38.1

Se llevan a cabo respaldos peridicos de SO, BD y del

Aplicativo y sus pistas de auditora respectivas? Bitcoras de
respaldos y pistas de Auditoria.

Los dispositivos de respaldo debern estar perfectamente

identificados para su fcil localizacin.

38.2

Los dispositivos de respaldo deben contar con el adecuado

etiquetado y con los datos necesarios para su pronta
localizacin. Al menos debern indicar tipo de respaldo,
nombre del respaldo, fecha y hora del respaldo.

Los dispositivos de respaldo deben estar adecuadamente

ordenados y clasificados para su gil utilizacin.

38.3

Debe existir una clasificacin y orden adecuado para el acceso

fcil a los dispositivos de respaldo clasificndolo al menos por
fecha y hora de respaldo.

Auditoras Internas
Auditoras efectivas, mediante personal autorizado
El PAC deber asegurar que el personal dedicado a las
y seguimiento
auditoras tiene las capacidades necesarias para evaluar de
manera efectiva los controles. Seguimiento hasta su cierre.

RESGUARDO DE INFORMACIN
Respaldos

38

Tipos de Respaldo

Documentacin de tipos de respaldo a ejecutar

38

Tipos de Respaldo

Documentacin de tipos de respaldo a ejecutar

Ejecucin de Respaldos

39

Periodicidad

Proteccin de Medios.

38.4

Deben encriptarse los medios y dispositivos de

almacenamiento, empleando algoritmos definidos por el SAT
o mejores (AES con llaves de 256 bits o superior).

Los respaldos debern llevarse a cabo con un perodo

mnimo.

39.1

Los respaldos debern realizarse diariamente como mnimo.

Evidencia en bitcora, documento o similar y demostracin.

Se deber garantizar que la periodicidad de los respaldos,

cubran la necesidad de restablecimiento en caso de
contingencia.

39.2

La periodicidad de respaldo como mnimo de una semana

garantiza el restablecimiento adecuado de la operacin?
Indicar en caso contrario cada cundo se llevan a cabo. Contar
con la evidencia de los resultados de las pruebas de
restauracin donde se indique que este fue exitoso

40.1

Las pistas de auditora de SO, BD y Aplicativo son

respaldadas mnimo cada semana? Mostrar evidencia en
bitcora y visual.

40.2

Los respaldos de pistas de auditora de SO, BD y Aplicativo

deben ser resguardados en lugar seguro. Evidencia.

40.3

El acceso a los respaldos de pistas de auditora de SO, BD y

Aplicativo, se lleva a cabo slo por personal autorizado?
Mostrar evidencia en bitcora.

40.4

Verificar Bitcoras de acceso a los dispositivos de respaldo de

pistas de auditora del Aplicativo, SO y BD.

Garantizar restauracin

40

Respaldo de Pistas de
Auditoria

Se debe llevar a cabo respaldos adecuados de las

pistas de auditora que permitan dar un
seguimiento puntual y exacto a actividades
realizadas por Sper Usuarios, usuarios
Privilegiados y en general usuarios de Sistema
Operativo(SO), Base de Datos(BD) y Aplicativo

Las pistas de Auditora debern ser respaldadas

peridicamente y almacenadas en lugar seguro para su
posible revisin.

Se debern respaldar los dispositivos de respaldo, en un

lugar seguro y libre de humedad.

41.1

41.2

41

42

Resguardo

Copias

Ubicacin fsica de los dispositivos de respaldo

Resguardo de respaldos adicionales (copias)

El control de acceso a los dispositivos de respaldo, deber

llevarse a cabo por medio de una bitcora que indique al
menos qu dispositivo se utilizar, quin solicita el acceso,
motivo, fecha y hora de solicitud y fecha y hora de regreso
del dispositivo.

Se deber guardar una copia en un inmueble externo al

principal en donde se lleven a cabo los respaldos.
Deber existir un procedimiento para eliminacin de
dispositivos de respaldo, ya sea por dao, por haber cubierto
su vida til o por obsolescencia.

OTROS

41.3

El resguardo de dispositivos de respaldo es en un lugar

seguro y de medio ambiente adecuado? Revisar y mostrar.
El acceso a los respaldos de pistas de auditora de SO, BD,
Aplicativo se lleva a cabo por personal autorizado? Mostrar
evidencia de qu personas estn autorizadas y la evidencia de
sus accesos.
Se guarda una bitcora de acceso a los dispositivos de
respaldo de pistas de auditora de SO, BD y Aplicativo?
Mostrar.

41.4

La bitcora de acceso a dispositivos de respaldo indicar al

menos qu dispositivo se utilizar, quin solicita el acceso,
motivo, fecha y hora de solicitud y fecha y hora de regreso del
dispositivo? Mostrar.

42.1

Se guarda una copia del respaldo de pistas de auditora de

SO, BD y Aplicativo, en un lugar distinto al principal? Mostrar
evidencia visual y/o en bitcora, documentacin, otros.

42.2

Se muestra procedimiento para la eliminacin de dispositivos

de respaldo y la constancia de qu dispositivos se destruyen,
la fecha, hora, motivo y responsable de la eliminacin?

Administracin de Cambios. Se han definido

procedimientos de administracin de cambios para
las aplicaciones, infraestructura y dispositivos
relacionados con el servicio. Los procedimientos
definen lineamientos sobre:
- Registro del total de solicitudes de cambios,
especificando informacin sobre: tipo de cambio,
detalle de los sistemas o activos afectados, objetivo
del cambio, fecha estimada de implementacin,
pruebas para verificar la efectividad del cambio,
impacto probable de la implementacin del
cambio, plan de retorno en caso de falla.
- Evaluacin del cambio, para determinar el nivel
de impacto sobre la infraestructura y operaciones.
- Evaluacin del cambio para su categorizacin
como cambio emergente, en caso que no pueda
seguir el proceso normal de cambios debido a la
urgencia e impacto de no implementarlo.
- Definicin y ejecucin de planes de prueba para
verificar la efectividad del cambio.
- Descripcin de las actividades para revertir el
cambio, en caso que el cambio sea fallido.

43

Se debern implementar procesos de control de cambios

para toda la infraestructura, aplicaciones y dispositivos
relacionados
Se han implementado procedimientos para la administrar de
cambios que definan las actividades y lineamientos
necesarios para:
- Registrar el total de las solicitudes de cambio,
especificando informacin sobre: Detalle del cambio,
sistemas afectados, objetivo, impactos, fechas estimadas de
implementacin.
- Aprobacin de los cambios dependiendo del alcance de los
mismos, de los activos afectados, urgencia y nivel de
impacto.
- Evaluacin de los cambios para determinar el nivel de
impacto.
- Categorizacin de los cambios como cambio emergente.
- Definicin y ejecucin de planes de prueba.
- Seguimiento a desviaciones en los planes de prueba.
- Descripcin de planes de retorno de los cambios.

43.1

Inspeccin documental y entrevistas para determinar si se ha

implementado un procedimiento formal de cambios para
todos los activos relacionados con el servicio, que cumpla con
los requerimientos de:
- Documentacin mnima.
- Aprobacin.
- Evaluacin del nivel de impacto.
- Categorizacin.
- Definicin de planes de prueba y seguimiento a
desviaciones.
- Definicin de planes de retorno.
Inspeccin de una muestra de cambios para asegurar que los
mismos se han implementado siguiendo los puntos de control
definidos en el procedimiento.

Administracin de
Cambios

Se realiza una evaluacin inicial de los requerimientos

tecnolgicos requeridos previo a la implementacin de la
solucin. La evaluacin considera requerimientos de
procesamiento, comunicaciones, almacenamiento, niveles de
servicio requeridos, picos de actividad y planes de
crecimiento en el corto y mediano plazo.

Capacidad Tecnolgica. Se han definido

procedimientos para la administracin de la
capacidad tecnolgica para asegurar que se
mantiene la capacidad y nivel de eficiencia de los
sistemas en rangos aceptables, con base en mejores
Al menos anualmente se realiza un anlisis de indicadores
prcticas de la industria.
clave de desempeo y de tendencias de uso de los recursos
tecnolgicos. Los resultados se evalan en conjunto con las
expectativas de crecimiento y de demanda en el corto y
mediano plazo.

44

Capacidades

Se definen planes de accin para atender desviaciones, o

para cumplir con las expectativas futuras de crecimiento.

Se realiza una evaluacin inicial de los requerimientos

operativos para la implementacin de la solucin y
prestacin de los servicios. La evaluacin considera los
servicios prestados a las reas usuarias, personal requerido
para el soporte a las operaciones, y administracin de la
plataforma tecnolgica, capacidades tcnicas, y
conocimientos requeridos, entre otros factores.

Capacidad Operativa. Se han definido

procedimientos para administrar la capacidad
operativa para asegurar que se mantiene un nivel
adecuado de operacin y de atencin a
requerimientos, con base en los SLA's acordados,
Al menos anualmente se realiza un anlisis de indicadores
requerimientos regulatorios y retroalimentacin de
clave de desempeo y de tendencias de uso de los recursos
las partes interesadas
operativos. Los resultados se evalan en conjunto con las
expectativas de crecimiento y de demanda en el corto y
mediano plazo.

Planes de accin para atender desviaciones y cumplir con las

expectativas de crecimiento.

Incidencias y Problemas

44.1

Inspeccin documental y entrevistas para determinar cuales

son los procesos que se siguen para determinar los recursos
tecnolgicos requeridos para implementar la solucin
tecnolgica, considerando capacidad de las aplicaciones,
infraestructura, telecomunicaciones, entre otros elementos. El
anlisis deber tener en consideracin los requerimientos
iniciales, as como los requerimientos esperados en el corto y
mediano plazo.

44.2

Inspeccin documental y entrevistas para conocer el

procedimiento seguido para analizar las tendencias de uso de
los recursos, definicin de indicadores clave de desempeo,
as como las actividades para analizar estas tendencias contra
los objetivos de crecimiento en el corto y mediano plazo.

44.3

Inspeccin documental de los planes de accin para atender

las desviaciones o excedentes en los requerimientos de
recursos tecnolgicos.

44.4

Inspeccin documental y entrevistas para determinar cuales

son los procesos que se siguen para determinar los recursos
operativos requeridos para implementar la solucin
tecnolgica, considerando los servicios prestados a las reas
usuarias, personal requerido para el soporte a las
operaciones, y administracin de la plataforma tecnolgica,
capacidades tcnicas, y conocimientos requeridos, entre otros
factores.

44.5

Inspeccin documental y entrevistas para conocer el

procedimiento seguido para analizar las tendencias de uso de
los recursos, definicin de indicadores clave de desempeo,
as como las actividades para analizar estas tendencias contra
los objetivos de crecimiento en el corto y mediano plazo.

44.6

Inspeccin documental de los planes de accin para atender

las desviaciones o excedentes en los requerimientos de
recursos operativos.

Manejo de Incidente. Se han implementado

procedimientos para el registro y solucin de
incidentes, considerando como incidente a
cualquier actividad fuera de las operaciones
normales. Todos los incidentes son registrados y
canalizados a travs de un punto nico para
garantizar su tratamiento con base en los
lineamientos definidos.
Los procedimientos de manejo de incidentes
requieren que para cada incidente se registre la
siguiente informacin:
- Fecha/hora de reporte del incidente.
- Descripcin del incidente.
- Nivel de impacto del incidente.
- Nivel de urgencia del incidente.
- Tipo de incidente (redes, infraestructura,
aplicativo, de seguridad, entre otros).
- Estado del incidente (abierto, en solucin,
solucionado, cerrado).
- Descripcin de la solucin.

45

Incidencias

Se han definido procedimientos para el

escalamiento de los incidentes de acuerdo con el
tipo de incidente, impacto y tiempo transcurrido
desde su registro. El proceso de escalamiento se ha
definido en una tabla y es aplicable a todos los
incidentes.

Manejo de Incidentes de Seguridad. Se han

implementado procedimientos para la
identificacin y seguimiento de incidentes de
seguridad.

El procedimiento de notificacin de incidentes es conocido y

seguido por las reas usuarias, reas administrativas y reas
de tecnologa, todos los incidentes son registrados a travs
de un punto nico.

Registro y seguimiento a incidentes, incluyendo incidentes

reportados por usuarios, personal de sistemas, entre otros.

Se han definido actividades y mecanismos para el

escalamiento de incidentes con base en el tipo de incidente,
impacto y tiempo transcurrido desde su registro, entre otros
conceptos.

45.1

45.2

45.3

46

Problemas

Entrevistas con personal clave de reas usuarias, reas

administrativas y reas de tecnologa para confirmar que se
Inspeccin de una muestra de incidentes para asegurar que
cuentan con la informacin requerida y han sido
categorizados y seguidos de manera adecuada.
Inspeccin de la tabla de escalamiento para confirmar que la
misma define la siguiente informacin:
- Tipo de incidente.
- Magnitud.
- Impacto.
- Umbrales de tiempo.
- Personal a notificar en cada umbral.
Inspeccin de una muestra de incidentes para confirmar que
se han seguido las actividades definidas en la tabla de
escalamiento.

Cierre de incidentes. Los procedimientos definidos

garantizan que los incidentes son cerrados una vez que han
sido solucionados. No se tienen registros de incidente
cerrados sin haber sido solucionados.

45.4

Registro y seguimiento a incidentes de seguridad. Se han

implementado mecanismos y se cuenta con la experiencia
requerida y mecanismos para identificar incidentes de
seguridad. Se considera como incidente de seguridad a
cualquier evento intencional o no intencional que pone en
riesgo la confidencialidad, integridad o disponibilidad de los
activos del servicio.
45.5
Los incidentes de seguridad debern ser acompaados por
un anlisis exhaustivo por expertos para determinar el nivel
de impacto y exposicin generado como parte del incidente.

Se ha definido un procedimiento que regula la

administracin de problemas, incluyendo los siguientes
puntos:
- Criterios para considerar un problema.
- Actividades para la determinacin de las causas raz.
- Actividades para determinar los factores que propiciaron la
ocurrencia del problema.
- Actividades requeridas para prevenir la recurrencia del
problema.
- Actividades requeridas para minimizar el impacto en caso
de ocurrencia.
- Definicin de planes de accin.
- Seguimiento hasta el cierre de los planes de accin.
- Cierre del problema.

La documentacin relacionada con problemas por incidentes

de seguridad deber ser analizada por el SAT para obtener la
aprobacin de los planes de accin y de las actividades de
seguimiento a los mismos.

Inspeccin de una muestra de incidentes para asegurar que

han sido cerrados, y que su cierre se ha realizado posterior a
la solucin.

Inspeccin documental y entrevistas con el personal para

determinar si se cuenta con mecanismos de monitoreo y
experiencia en el personal para:
- Identificacin de incidentes de seguridad.
- Categorizacin como incidente de seguridad.
- Investigacin del incidente por personal experto.
- Notificacin al SAT en el momento del incidente.
- Registro y seguimiento a travs de los procedimientos de
manejo de incidentes.
Inspeccin de una muestra de incidentes para confirmar si se
realiz un anlisis adecuado para determinar si se trataba de
incidentes de seguridad.
Inspeccin de una muestra de incidentes de seguridad para
determinar si:
- Se realiz un anlisis exhaustivo por personal experto para
determinar el impacto y nivel de exposicin del incidente.
- Se comunic de manera inmediata al SAT.
- Se tomaron las acciones necesarias para revertir los efectos
del incidente de seguridad.

Los incidentes de seguridad debern ser notificados en todos

los casos al SAT de manera inmediata, an cuando no se
hubiera concretado o no hubiera impacto.

Manejo de Problemas. Se han implementado

procedimientos para el manejo de problemas,
considerando a los problemas como cualquier
incidente recurrente, de seguridad o con un
impacto mayor a las operaciones o activos
relacionados con el servicio. Los problemas son
seguidos para determinar:
- Causas raz del problema.
- Factores que propiciaron la ocurrencia del
problema.
- Factores que pueden implementarse para
prevenir la ocurrencia del problema, o para mitigar
el impacto del mismo.

Inspeccin documental para confirmar que se ha definido un

procedimiento formal de administracin de incidentes que
define la informacin requerida para el registro y seguimiento
de incidentes hasta su solucin.

46.1

Inspeccin documental y entrevistas con los responsables

para determinar si se ha implementado un procedimiento
para el manejo de problemas que considere los lineamientos
para la identificacin, determinacin de causas raz, factores
relacionados, acciones de mitigacin, definicin de planes de
accin y seguimiento de los mismos hasta su cierre.

46.2

Inspeccin documental y entrevistas con los responsables

para determinar si los problemas relacionados con incidentes
de seguridad son comunicados al SAT previo a la aprobacin
final de los planes de accin y seguimiento de los mismos.

47

Manejo de Licencias

Uso y auditora de licencias. Se deber permitir la

auditora por parte del proveedor, del SAT o
cualquiera que este defina para verificar el
adecuado manejo de las licencias provistas por el
SAT, para los fines que este convenga.

El PAC deber garantizar que las licencias de software

provistas por el SAT son utilizadas para los fines acordados, y
deber permitir la auditora por parte del SAT, el proveedor,
o cualquiera que estos definan para verificar el uso
autorizado de las mismas.

47.1

Inspeccin documental y/o entrevistas para determinar si las

licencias provistas estn siendo empleadas para los fines
acordados.

ELIMINADO!

Controles en la aplicacin

Se debern identificar, entender y verificar el cumplimiento

con las polticas y regulaciones de seguridad aplicables.
- El PAC deber implementar los controles y mecanismos
requeridos para proteger y hacer buen uso de la informacin
personal a la que tuviera acceso, as como asegurar el apego
con la Ley Federal de Proteccin de Datos Personales en
Posesin de los Particulares, y con otras legislaciones
aplicables.
- El PAC deber especificar mediante un documento firmado
por su representante legal que:
- Conoce la "Ley Federal de Proteccin de Datos Personales
en Posesin de los Particulares" , as como las legislaciones
aplicables en materia de proteccin de datos.
- Reconoce su responsabilidad para verificar el
cumplimiento con las leyes de proteccin de datos.
- Reconoce que ser sujeto de sanciones por el
incumplimiento de las leyes, con base en los lineamientos
definidos en las mismas.
- Exime de cualquier responsabilidad al SAT, derivado del
acceso a la informacin relacionada con el servicio que
prestar, incluyendo los servicios gratuitos y con costo.

Se debern identificar y eliminar el uso de componentes

compartidos.
- El PAC deber asegurar que toda la infraestructura y
sistemas relacionados con el servicio son de uso exclusivo,
no son utilizados para otros fines, y estn separados fsica y
lgicamente .

Se deber especificar un documento denominado "Flujo de

Datos de la Solucin", en el que se especifique el flujo de
datos e informacin de los componentes internos y externos.
El flujo de datos deber evitar que los datos e informacin
Arquitectura de Seguridad.
La solucin implementada por el PAC deber cubrir sean intercambiados con componentes no administrados
por el PAC bajo los lineamientos de seguridad necesarios
los siguientes controles, independientemente del
para proteger la informacin. Para definir el documento
tipo de solucin o arquitectura implementada.
"Flujo de Datos de la Solucin" se debern realizar las
siguientes actividades.
- Se debern identificar todos los componentes
relacionados con el servicio, incluyendo aplicaciones, e
infraestructura empleada para el almacenamiento,
procesamiento, transmisin y recepcin de datos. Se deber
definir un diagrama del flujo de informacin que deber
mostrar todos los componentes relacionados con el servicio,
incluyendo aplicaciones, servidores, bases de datos,
dispositivos de almacenamiento, impresoras, reporteadores,
entre otros. Adicionalmente se debern especificar a detalle
los siguientes datos para cada componente:
- Marca/Modelo del componente.
- Tipo de componente.
- Informacin sobre el componente, versionamiento y otra
informacin.
- Propsito del componente.
- Componentes con los que intercambia informacin.

48.1

Inspeccin documental, entrevistas y revisin de archivos de

configuracin para asegurar que se han cumplido los criterios
de revisin.
Inspeccin de los acuerdos para asegurar que el PAC ha
entendido y ha asumido la responsabilidad sobre el
cumplimiento con los lineamientos y definiciones definidos en
las legislaciones aplicables.

48.2

Inspeccin documental, entrevistas y revisin de archivos de

configuracin para asegurar que los componentes de la
solucin son de uso exclusivo para este fin.

Inspeccin documental, entrevistas y revisin de archivos de

configuracin para asegurar que el documento "Flujo de
Datos de la Solucin" es completo y veraz.
48.3
Verificar que el flujo de datos de la solucin no interacta con
componentes que no son administrados bajo los lineamientos
de seguridad.

Se deber especificar un documento denominado

"Interconexiones de la Solucin" en el que se identifiquen las
interconexiones en el ambiente de aplicaciones. No se
deber tener conexiones con sistemas externos al PAC, o con
sistemas que no sean administrados bajo los lineamientos de
seguridad requeridos para proteger la informacin. El
documento deber especificar:
- Todas las conexiones con la intranet, internet, conexiones
con socios de negocio, entre otros puntos, as como los
controles de acceso.

48

Definicin de controles de acceso, autenticacin y

autorizacin, .
- Se deber identificar en un diagrama las direcciones IP y
puertos requeridos por cada componente para el adecuado
funcionamiento, la infraestructura de red y sistemas debern
configurarse para permitir el acceso a travs de las
direcciones y puertos especificados.

Seguridad en la
aplicacin
Encriptacin.
La solucin implementada deber cubrir los
siguientes controles sobre encriptacin,
independientemente del tipo de solucin o
arquitectura implementada.

Se debern establecer mecanismos de encriptacin tales

como SSL/TLS para las conexiones. Se deber asegurar que el
trafico no encriptado no contiene informacin sensible, por
ejemplo pginas con reas http y https.

Control de acceso.
La solucin implementada deber cumplir con los
siguientes controles sobre controles de acceso,
independientemente del tipo de solucin o
arquitectura implementada.

Definicin de controles de acceso a los recursos, y funciones

de la solucin.
Se debern tener niveles de acceso en la solucin
implementada, los accesos se restringirn al mnimo nivel
requerido para el adecuado funcionamiento de la solucin, y
debern considerar las funciones operativas y
administrativas.

48.4

Inspeccin documental, entrevistas y revisin de archivos de

configuracin para asegurar que el documento
"Interconexiones de la Solucin" es completo, actualizado y
veraz.
Verificar que el flujo de datos de la solucin no interacta con
componentes externos o que no son administrados bajo los
lineamientos de seguridad.

48.5

Inspeccin documental, entrevistas y revisin de archivos de

configuracin para asegurar que se han definido las
direcciones IP y puertos requeridos para el adecuado
funcionamiento de la aplicacin.
Verificar los mecanismos de control de accesos para asegurar
que los mismos se han configurado con base en los
requerimientos de acceso.

48.6

Inspeccin documental, entrevistas y revisin de archivos de

configuracin para asegurar que las conexiones con la
infraestructura se realizan a travs de medios segur0s tales
como SSL/TLS.
Verificar que el trfico no encriptado no contiene informacin
sensible.

48.7

Inspeccin documental, entrevistas y revisin de archivos de

configuracin para asegurar que se han definido niveles de
acceso a los recursos, y que los niveles de acceso son
otorgados al personal, con base en los requerimientos de
acceso.
Inspeccin de los niveles de acceso otorgados para asegurar
que los mismos se otorgan nicamente al personal con base
en el mnimo privilegio requerido.

Las entradas de datos por usuarios y otras aplicaciones

debern ser validadas para confirmar que no contienen
sentencias o valores no permitidos. Las validaciones debern
ser realizadas a travs de controles del lado del servidor, y no
a travs de validaciones a nivel cliente tales como java script.
Se debern implementar los siguientes tipos de validaciones:

Validacin de entradas.
La solucin implementada deber cumplir con los
siguientes controles sobre validacin de entradas
de datos, independientemente del tipo de solucin
o arquitectura implementada.

- Verificaciones de Integridad. Para validar que los datos no

han sido modificados al viajar desde el servidor al navegador
de los usuarios y de regreso, o que los montos de la
transaccin origen generada por el usuario se conservan
hasta su registro final en el servidor, as como en cualquier
transaccin en que la informacin viaje a otros sistemas.

48.8

Inspeccin documental, entrevistas, revisin de archivos de

configuracin y pruebas de entrada de datos para asegurar
que se han implementado mecanismos para validar los datos
de entrada, previniendo el uso no adecuado de datos de
entrada, prdida de integridad en la transportacin de datos,
y uso de datos no reales.

48.9

Inspeccin documental, entrevistas y revisin de archivos de

salida para asegurar que se han implementado mecanismos
para la adecuada codificacin de los datos de salida, para
prevenir la inadecuada interpretacin o ejecucin de
instrucciones.

- Validacin. Para asegurar que los datos tienen la sintaxis

correcta, con los caracteres esperados y con la longitud
definida. Se debern implementar controles de validacin en
la capa web o de presentacin y se deber verificar que no
existan scripts o secuencias no permitidas.
- Reglas de negocio. Para asegurar que los datos de entrada
tienen sentido.

Codificacin de salidas.
La solucin implementada deber cumplir con los
siguientes controles de codificacin de salidas,
independientemente del tipo de solucin o
arquitectura implementada.

Codificacin de salidas.
Las salidas de informacin debern ser codificadas en un
formato correcto, para prevenir que puedan ser
interpretadas como directivas o instrucciones en el contexto
de la salida. Debern considerarse caracteres especiales,
tales como ",',\n,\x0, u otros.

Criptografa.
La solucin implementada deber cumplir con los
siguientes controles de criptografa,
independientemente del tipo de solucin o
arquitectura implementada. Los mecanismos de
criptografa debern estar alineados a mejores
estndares de seguridad y debern prevenir el
descifrado de llaves.

Criptografa.
Se debern implementar mecanismos de criptografa para
soportar las siguientes funcionalidades:
- Autenticacin de los clientes y PAC.
- No repudiacin de las transacciones.

Manejo de logs, errores y registro.

La solucin deber contar con mecanismos para el manejo
de errores y excepciones, asegurando que:
- Los mensajes de error mostrados por la aplicacin no
debern proveer informacin sensitiva.
- Las excepciones no proveen informacin sensitiva a los
usuarios de la aplicacin.

Manejo de logs, errores y registro.

La solucin implementada deber cumplir con los
Se debern registrar al menos los siguientes eventos:
siguientes controles sobre manejo de errores,
- Acceso directo a datos. Especificando quin accedi, qu
excepciones, logs, bitcoras y registro de eventos,
datos accedi y el timestamp.
independientemente de la solucin implementada..
- Escritura o modificacin de datos. Especificando quin
realiz la accin, que hizo (agregar o modificar datos), qu
datos accedi, y el timestamp.
- Escritura o modificacin de archivos de configuracin.
- Actividades administrativas como modificacin de
parmetros, creacin de usuarios, entre otros.

48.10

Inspeccin documental, entrevistas, revisin de archivos de

configuracin y pruebas de acceso a la aplicacin para
asegurar que se han implementado mecanismos de
criptografa para asegurar:
- La autenticacin de los clientes y del PAC.
- La autenticacin del PAC con el SAT.
- No repudio de transacciones.

48.11

Inspeccin documental, entrevistas, revisin de archivos de

configuracin y pruebas de uso de la aplicacin para asegurar
que se han implementado mecanismos para el adecuado
manejo de excepciones y errores, as como la divulgacin de
informacin sensible a travs de los mensajes de error.

48.12

Inspeccin documental, entrevistas, revisin de archivos de

configuracin y de trazas de auditora para asegurar que las
mismas se han configurado para registrar informacin sobre
eventos relevantes.

- Intentos de acceso (exitosos o fallidos) a recursos o

funciones.

VALIDACIN TECNOLGICA

Declaracin de
namespaces

Declaracin de namespaces

Verificar la correcta definicin de namespaces,

haciendo la referencia a la ruta publicada por el
SAT en donde se encuentra el esquema de XSD.
(Referencia Anexo 20)

A.1

Revisin de la correcta declaracin de los

namespaces del CFDI conforme al Anexo 20 en
cada uno de los rubros aplicables

Declaracin de
Addenda y sus
namespaces

Declaracin de Addenda y namespaces

Si se requiere utilizar esta funcionalidad, se

deber definir el nuevo namespace dentro del
nodo Comprobante y publicar la ruta del esquema
XSD para la validacin

B.1

Revisin y validacin de la integracin del Timbre

Fiscal Digital y la addenda cuando esta aplique, con
sus namespaces conforme al Anexo 20

Validacin de Datos
requeridos

Validacin de Datos requeridos

Validacin de los campos obligatorios del CFDI

que cumplan con el esquema de datos

C.1

Validacin sintctica correcta del esquema de

datos establecido.

Utilizacin de
Utilizacin de caracteres especiales y
caracteres especiales y
secuencias de escape
secuencias de escape

Utilizacin de caracteres especiales y secuencias

de escape Generar un CFDI que contenga
caracteres especiales y secuencias de escape

D.1

Se deber representar correctamente dichos

caracteres codificados en UTF-8 en la factura y en
la generacin de la cadena original, as como en la
representacin impresa del CFDI.

Caracteres en blanco,
Caracteres en blanco, tabuladores o
tabuladores o retornos
retornos de carro
de carro

Generar un CFDI con 2 o ms caracteres en

blanco, tabuladores y retornos de carro

E.1

Se debern remplazar todos los tabuladores,

retornos de carro y saltos de lnea por un espacios
en blanco (toda secuencia de caracteres en blanco
intermedias se sustituyen por un nico carcter en
blanco) Anexo 20.

Sellado conforme a la
cadena original para el
CFDI y para el Timbre
Fiscal Digital

Verificacin de la
validacin de cada
comprobante

Verificacin del correcto sellado conforme

a la cadena original para el CFDI y para el Validacin criptogrfica de los sellos
Timbre Fiscal Digital

Verificacin de la validacin de cada

Cumplir con todas las validaciones necesarias para
comprobante para la emisin de un timbre la emisin de un timbre

Cumplimiento con requisitos tcnicos y

funcionales, que el cliente sea fcil de usar y
cuente con una interface amigable. Revisin
documental de manuales

Cliente Gratuito

Cumplimiento del cliente gratuito con los

estndares CFDI emitidos por el SAT.
(Anexo 20 y Matriz de Controles)

Validacin de flujos

Validacin de la creacin de un CFDI desde Cumplimiento del paso por cada componente que
el contribuyente hasta su almacenamiento integre el servicio de punta a punta. Otorgar al
en el SAT
SAT usuarios para realizar pruebas

Conexin Remota

Verificacin de la aplicacin por medio de La conexin Remota debe permitir el acceso

una conexin remota
desde la Red del SAT

Manuales de Usuario

Los manuales deben integrar instrucciones claras

Entrega de Manuales de Usuario para una
para usuario, de atencin a usuario y de atencin
mejor Administracin
a usuario del SAT

F.1

El correcto sellado conforme a la cadena original

(En este proceso se realizan las dos validaciones
criptogrficas, aplicables al CFDI y al Timbre del
PAC)

G.1

1. Que cumpla la estructura XML (XSD y

complementos aplicables)
2. Que cumpla con el estndar de XML (Conforme
al W3C)
3. Que el CSD del Emisor corresponda al RFC que
viene como Emisor en el Comprobante
4. Que el CSD del Emisor haya sido firmado por uno
de los Certificados de Autoridad de SAT
5. que la llave utilizada para sellar corresponda a
un CSD (no de FIEL)
6. que el CSD del Emisor no haya sido revocado,
utilizando la lista de CSD
7. que el sello del Emisor sea vlido
8. Que la fecha de emisin est dentro de la
vigencia del CSD del Emisor
9. Que exista el RFC del emisor conforme al
rgimen autorizado (Lista de validacin de
rgimen)
10. que el rango de la fecha de generacin no sea
mayor a 72 horas para la emisin del timbre
11. que la fecha de emisin sea posterior al 01 de
Enero 2011
12. que no contenga un timbre previo
13. que el PAC no haya timbrado previamente
dicho Comprobante
La previa validacin de la vigencia de los
certificados usados en el sellado delCFDI

H.1

Validar que el cliente gratuito cumple con los

requisitos tcnicos emitidos por el SAT: Verificar
que el cliente gratuito tenga las funcionalidades de
autenticacin de usuarios, administracin de
comprobantes emitidos, creacin de
representacin impresa. Verificar que el cliente
gratuito es multiplataforma y tecnolgicamente
neutral. Revisin de manuales de usuario, de
atencin a usuarios y manual de pruebas para el
SAT

I.1

Verificar que el servicio ofrecido desde el cliente

gratuito y que al prestar la certificacin (timbrado)
a terceros, se cumpla con la entrega del CFDI al SAT
y el envo del Timbre Fiscal Digital al cliente que lo
genere

J.1

Realizar una conexin remota exitosa al aplicativo

del Proveedor y realizar pruebas conforme a los
manuales de usuario y usuario para el SAT
entregados . (generacin deCFDI, administracin
de CFDI, impresin, etc.)

K.1

El manual de usuario debe contener un ndice y los

puntos que describan los pasos a manera de gua
para hacer uso del servicio y sus funcionalidades

NUEVO!

NUEVO!

Manuales de Usuario

Confidencialidad y
Niveles de Servicio

Los manuales deben integrar instrucciones claras

Entrega de Manuales de Usuario para una
para usuario, de atencin a usuario y de atencin
mejor Administracin
a usuario del SAT

Documentos de Control en los cuales se

establezca y especifique, los acuerdos de
Servicio y Confidencialidad

K.2

El manual de atencin a usuario debe contener un

ndice y los puntos donde se informe al usuario las
formas de contacto y resolucin de problemas con
el servicio y sus funcionalidades

K.3

El manual de usuario SAT debe contener un ndice

y los puntos que describan los pasos para que el
SAT realice las pruebas remotas o en sitio

L.1

Mostrar el Documento de Acuerdo de Niveles de

Servicio (SLA). En particular para la Aplicacin
Gratuita se debe cumplir con lo publicado en la
pgina de internet respecto a la funcionalidad y
servicios respectivos

L.2

Mostrar el Documento de Convenio de

Confidencialidad, mediante el cual el Proveedor
Autorizado se compromete a hacer buen uso de la
informacin del Contribuyente.

Se debern mostrar los documentos de Acuerdos

de Niveles de Servicio (SLA) y de Convenio de
Confidencialidad, entre el Proveedor Autorizado y
el Contribuyente

El aspirante debe documentar todo el personal que interviene en el proceso de CFDI y notificar al SAT cuando existan cambios.

Nombre y Firma del Representante Legal