Академический Документы
Профессиональный Документы
Культура Документы
Nota: La presente matriz estar vigente a partir del 1 de enero de 2014. Durante el ao 2014, la pres
diciembre de 2014, ni a aquellas solicitudes de autorizacin presentadas hasta antes del 19 de diciem
2013.
rea de Control
Sub-rea de Control
ID Control
Organizacin Interna
5
6
8
Clasificacin de la
Informacin
Clasificacin de la
Informacin
Seguridad en el Personal
10
Personal Interno
11
12
Personal Externo
13
14
15
16
Responsabilidades de los
Usuarios
17
18
19
22
23
24
Seguridad Fsica
25
26
Gestin de Riesgos
27
28
Manejo de Incidentes y
Problemas
29
30
Monitoreo de Seguridad
31
32
33
Revisin del Cumplimiento
34
BCP
35
36
37
Gestin de la Capacidad
Gestin de la Capacidad
38
39
DRP
40
41
42
43
44
45
46
47
Seguridad Fsica
48
49
50
Controles Ambientales
51
52
53
Servicios de Soporte
54
55
Comunicaciones
56
57
58
59
60
Respaldos
61
62
63
Gestin de Medios de
Almacenamiento
64
65
Criptografa
Criptografa
66
67
Pruebas de Seguridad
68
Proteccin Contra Cdigo
Malicioso
69
70
Separacin de Ambientes
71
72
73
74
Seguridad en Aplicativo
Seguridad en Aplicativo
75
76
77
Transaccionalidad
78
Encripcin de Datos
79
80
partir del 1 de enero de 2014. Durante el ao 2014, la presente matriz no ser aplicable a los proveedores de ce
s de autorizacin presentadas hasta antes del 19 de diciembre de 2013 y resueltas con posterioridad al 1 de en
Control
dad de la Informacin
Poltica de Seguridad de la Informacin
Acuerdos de Confidencialidad
Uso de contraseas
Equipo desatendido
Escritorio limpio
Inventario de Activos
Controles de Entrada
Anlisis de Riesgos
Mitigacin de Riesgos
Incidentes y Problemas
Notificacin al SAT
Bitcoras de Eventos
Remediacin de incumplimientos
Pruebas de BCP
Capacidad Tecnolgica
Capacidad Operativa
Gestin de Privilegios
Revisin de Permisos
Vigilancia y Monitoreo
Sealizacin
Aire Acondicionado
Instalacin Elctrica
Proteccin Perimetral
Segmentacin de Redes
Actualizaciones
Respaldos
Pruebas de Respaldos
Proteccin de Medios de Respaldo
Etiquetado
Destruccin o Borrado
Pruebas de Seguridad
Separacin de Ambientes
Documentacin
Control de Accesos
Control de Cambios
Bitcoras
NTP
l ao 2014, la presente matriz no ser aplicable a los proveedores de certificacin de CFDI cuya autorizacin vig
es del 19 de diciembre de 2013 y resueltas con posterioridad al 1 de enero de 2014, siendo que stos estarn a
La empresa debe contar con un documento de Poltica de Seguridad de la Informacin autorizado. Debe estar publicado y disponible pa
personal interno y terceros que colaboren con la empresa
El documento de Poltica de Seguridad de la Informacin debe ser revisado peridicamente, (por lo menos cada 6 meses.
La Direccin de la empresa debe apoyar activamente la seguridad de la informacin y demostrar su compromiso al respecto.
La empresa debe tener acuerdos de confidencialidad y/o acuerdos de no divulgacin firmados por la empresa para con el SAT y por el p
interno y externo, y deben ser revisados de manera peridica (por lo menos cada 6 meses. Es importante que la responsabilidad del pe
que firma no 'caduque' ni siquiera cuando el personal deje de laborar para la empresa.
La empresa debe contar con procedimientos formales para mantener contacto y permitir investigaciones por parte de las autoridades
relevantes.
La empresa debe estar en contacto con grupos especializados en seguridad y/o asociaciones profesionales
La empresa debe realizar revisiones independientes de la Seguridad de la Informacin.
El trmino "independientes" se refiere a que deben ser realizados por personal distinto a los responsables del diseo o implementacin
controles, ya sea personal interno o externo.
La empresa debe contar con una poltica y procedimientos formales para la clasificacin de la informacin de acuerdo a su relevancia o
sensibilidad y en cumplimiento a las disposiciones del IFAI. Ver el rea de control "Cumplimiento Legal y Regulatorio".
La empresa debe contar con procedimientos formales para etiquetar y manejar la informacin tanto en formato electrnico como en fo
fsicos de acuerdo a su clasificacin.
Se debe llevar a cabo la verificacin de antecedentes de todos los candidatos a puestos internos de la empresa.
Se deben formalizar las responsabilidades del personal externo con respecto a la seguridad de la informacin.
El personal interno debe recibir una capacitacin en materia de Seguridad de la Informacin al inicio de sus labores en la empresa y de
peridica ( por lo menos cada 12 meses.
Se deben identificar los riesgos inducidos por terceros a la informacin y los medios de procesamiento de informacin de la empresa.
Se deben formalizar las responsabilidades del personal externo con respecto a la seguridad de la informacin.
La empresa debe contar con una poltica de uso de contraseas, donde se especifique la responsabilidad de los usuarios en el uso de l
mismas, caducidad, proteccin de las mismas, etc.
La empresa debe contar con una poltica de equipo desatendido, donde se especifique los requerimientos de seguridad para el equipo
el usuario no est presente.
La empresa debe contar con una poltica de Escritorio limpio, donde se especifiquen los requerimientos de seguridad para los puestos
trabajo.
La empresa debe contar con una poltica y procedimientos para llevar a cabo la eliminacin de accesos lgicos y fsicos en el personal
externo que ya no labore en la empresa.
La empresa debe contar con procedimientos para la devolucin de los activos que el personal tuvo asignado mientras laboraba para la
empresa.
Se deben revisar los contratos, clusulas y acuerdos de confidencialidad para garantizar que el personal dado de baja conserva sus
obligaciones con respecto a la confidencialidad de la informacin a la que tuvo acceso durante su estancia en la empresa.
Todos los activos deben estar claramente identificados. Se debe elaborar y mantener un inventario actualizado de todos los activos de
empresa.
Toda la informacin y los activos asociados con los medios de procesamiento de la informacin deben ser propiedad (responsabilidad)
parte designada de la empresa.
La empresa debe contar con una poltica y procedimientos para identificar, documentar e implementar las reglas para el uso aceptable
informacin y los activos asociados.
Se deben utilizar permetros de seguridad (barreras tales como paredes y puertas de ingreso controlado, policas o recepcionistas) para
proteger reas operativas y de oficina que contienen informacin de la empresa.
Se deben proteger las reas seguras mediante controles de entrada apropiados para asegurar que slo se permita acceso al personal
autorizado.
Se deber contar con un anlisis de Riesgos sobre el proceso de CFDI, que debe abarcar como mnimo:
-
Se deber realizar un plan de mitigacin de los riesgos encontrados como prioritarios en el anlisis de Riesgos.
La empresa debe contar con una poltica y procedimientos para la Gestin de Incidentes de Seguridad en el proceso de CFDI, que man
mnimo:
-
La empresa debe contar con procedimientos de notificacin al SAT en caso de Incidentes o problemas que puedan comprometer la info
de los Contribuyentes o informacin de implementacin de la comunicacin con el SAT.
La empresa debe definir aquellos eventos de seguridad que van a monitorear, de acuerdo a su anlisis de riesgos, sin embargo, se deb
considerar como mnimo:
- Uso de cuentas privilegiadas.
- Acceso a informacin con clasificacin alta de confidencialidad.
La empresa debe implementar la creacin y resguardo de bitcoras donde se almacenen los eventos de seguridad relevantes. Las bit
deben ser resguardadas en un lugar seguro por lo menos durante 6 meses. Las bitcoras de eventos deben tener acceso controlado s
personal autorizado y se debe guardar un registro de la consulta de las mismas.
La empresa debe contar con procedimientos de monitoreo de los eventos de seguridad de los activos involucrados en el proceso de CF
de identificar los eventos de seguridad relevantes que ocurran en ellos
La empresa deber realizar revisiones peridicas (por lo menos cada 6 meses) para verificar que la operacin de la empresa cumple co
estipulado en las polticas y procedimientos requeridos en este documento. El personal que realice las auditoras debe ser independien
controles
La empresa debe realizar un plan de remediacin de los incumplimientos detectados en la revisin del cumplimiento.
La empresa debe contar con un plan de ejecucin de pruebas del BCP por lo menos cada 12 meses.
Se debe planear, monitorear, y ajustar el uso de recursos tecnolgicos (software, equipos, comunicaciones, etc) para asegurar el desem
requerido por los sistemas que dan soporte al proceso de CFDI por lo menos durante 12 meses.
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.
Se debe planear, monitorear, y ajustar el uso de recursos operativos (personal, herramientas, espacios) para asegurar el desempeo re
por los sistemas que dan soporte al proceso de CFDI por lo menos durante 12 meses.
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.
La empresa debe contar con un plan de recuperacin de desastres para su centro de datos que incluya por lo menos los activos necesa
para el funcionamiento del proceso de CFDI.
La empresa debe tener una poltica y procedimientos formales de Control de Accesos que aplique por lo menos a todos los activos que
soporte al proceso de CFDI, misma que debe ser revisada y actualizada por lo menos cada 6 meses.
La empresa debe documentar procedimientos formales para las Altas, Bajas y Cambios de accesos de usuarios, que incluyan como mn
- Bloqueo de las cuentas por intentos fallidos de autenticacin.
- Bloqueo de cuentas por periodo de inactividad.
Los accesos remotos slo se debern proporcionar bajo circunstancias de excepcin y con un estricto proceso de autorizaciones y mon
La empresa debe contar con procedimientos formales para restringir y controlar la asignacin y uso de los privilegios.
La empresa debe contar con procedimientos formales de asignacin de contraseas, los procedimientos deben contar por lo menos co
siguientes reglas:
- Reglas para la creacin de contraseas (longitud mnima, histrico, caracteres permitidos, etc.).
- Las contraseas se deben encriptar en todos los activos que dan soporte al proceso de CFDI.
La empresa debe realizar peridicamente (por lo menos cada 6 meses) una revisin de los usuarios existentes en los sistemas de infor
activos, para verificar que sus permisos sigan siendo vigentes de acuerdo al procedimiento de altas o cambios de Accesos de Usuarios
El centro de datos debe estar asentado en lugares libres de altos riesgos, por lo menos a 100 m de lugares como gasolineras, gaseras,
acometidas de cableado de electricidad y gas, etc. y como una instalacin no evidente
El centro de datos debe estar protegido por un permetro de acceso fsico controlado, controles de acceso automatizados y procedimie
formales de control de accesos.
El personal que acceda al centro de datos no deber introducir medios de almacenamiento extrables sin autorizacin.
Las bitcoras de acceso debern resguardarse en un lugar seguro.
El centro de datos debe contar personal de vigilancia las 24 hrs y un sistema de monitoreo de las instalaciones (CCTV, etc).
El sistema de monitoreo debe almacenar los videos de vigilancia con historial de por lo menos 30 das y almacenarlos en un lugar segu
de las instalaciones principales.
El personal debe estar debidamente capacitado y contar con las herramientas necesarias para responder en caso de emergencias.
El centro de datos debe contar con medidas de seguridad en el cableado y medidas de respaldo de energa de emergencia.
La infraestructura elctrica debe revisarse por lo menos cada 6 meses para garantizar su buen funcionamiento
El centro de datos debe contar con planes de mantenimiento y contratos vigentes con proveedores de los medios y dispositivos de con
ambientales y servicios de soporte
Las redes dentro del centro de datos deben contar con dispositivos de prevencin o deteccin de Intrusos.
La red debe estar protegida con dispositivos de seguridad que apliquen listas de control de acceso.
Las redes deben estar segmentadas para proteger el flujo de informacin en redes con distintos tipos de usuarios.
Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que dan soporte al proceso de CFDI d
tener contar con lneas base de seguridad documentadas e implementadas, que consideren como mnimo:
- Proteccin del BIOS en arranque de los sistemas.
- Deshabilitacin de unidades de almacenamiento removibles.
- Instalacin del S.O. en particin exclusiva.
- Inhabilitacin de puertos, protocolos usuarios y servicios innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema operativo.
Los activos que dan soporte al proceso de CFDI deben contar con los ltimos parches de seguridad y actualizaciones emitidas por el fa
de los servidores y sistemas operativos que hayan pasado por un procedimiento de pruebas previas a la implementacin
Se deben generar respaldos de los activos y la informacin que dan soporte al proceso de CFDI, con la periodicidad definida por la emp
Se debe contar con un plan de pruebas de los respaldos para verificar que son funcionales
Los medios donde se almacenan los respaldos debern estar protegidos en un rea especfica para este efecto, de preferencia en un s
alterno, en medios encriptados y con medidas de proteccin contra el acceso no autorizado.
Los medios donde se almacene informacin de los contribuyentes y del SAT deber estar inventariada y etiquetada con el nivel ms al
confidencialidad definido en el proceso de clasificacin de informacin, y se deber dar el tratamiento de acuerdo a la clasificacin.
Los medios donde se almacenen respaldos o informacin de los contribuyentes o del SAT debern estar sujetos a un procedimiento for
destruccin o borrado seguro que debe contener como mnimo:
- Solicitud y Autorizacin explcitas de la destruccin o borrado.
- Actas de destruccin o borrado firmadas por el personal que lo realiza.
Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes, debern contar con mecanismos de
criptografa.
Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto con algn material opaco y contar
salvaguardas que impidan que sea abierto o que invaliden la informacin en caso de que sea forzado, adems de contar por lo menos
siguientes medidas:
- Control de Accesos Fsicos y Lgicos (Slo personal autorizado).
- Registro de Hashes de Control.
- Segregacin de roles con acceso a los dispositivos de almacenamiento de llaves y certificados.
- Instalacin nica de la llave provista por el SAT (respaldada por un acta firmada por los responsables de su instalacin y custodia).
Se deben realizar, documentar y dar seguimiento a pruebas de seguridad en los activos que dan soporte al proceso de CFDI al igual qu
propio aplicativo de CFDI.
Se debe realizar un plan para atender los hallazgos detectados durante las pruebas de seguridad.
Todos los activos tecnolgicos que dan soporte al proceso de CFDI debern contar con una solucin de proteccin contra cdigo malici
instalada y actualizada.
Los ambientes de desarrollo, pruebas y produccin deben estar separados fsica o lgicamente unos de otros y todos deben tener su p
administracin de accesos.
La informacin del proceso de CFDI debe estar separada fsica o lgicamente de la informacin de otros procesos o aplicativos proporc
por la empresa.
El aplicativo de CFDI debe contar con documentacin tcnica completa, as como la documentacin del proceso de CFDI.
La documentacin tcnica debe incluir como mnimo:
- Flujo de Datos
- Modelo y Diccionario de Datos
- Diagrama de implementacin
El aplicativo debe contar con control automatizado de accesos, de acuerdo a las polticas y procedimientos de control de accesos defin
la empresa.
El aplicativo debe contar con un proceso formal de control de cambios, que debe incluir como mnimo:
- Estimacin de impacto de cambios
- Pruebas
- Autorizacin
- Liberacin de cambios
- Reversos de cambios
El aplicativo debe contar con bitcoras de acceso y uso, que deben contener como mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Registro de intentos de acceso fallidos.
- Registro de accesos exitosos.
- Registro de actividad de los usuarios.
- Registro de cierre de sesin ya sea por inactividad o por parte del usuario.
- Registro de consulta de las propias bitcoras.
- Registro de errores y/o excepciones.
El aplicativo debe contar con sesiones que expiren despus de 10 minutos de inactividad.
El aplicativo debe tener aplicada una lnea base de seguridad que debe incluir como mnimo:
- Implementacin de autenticacin de los usuarios (internos o clientes).
- Implementacin de mecanismo de no repudio de transacciones.
- Proteccin contra inyeccin de cdigo
- Inicio de sesin seguro
- Validacin de datos de entrada / salida para evitar errores en el procesamiento de la informacin.
- Manejo de errores.
Las transacciones de timbrado del proceso de CFDI deben estar sincronizadas usando un servidor de NTP sincronizado con GPS.
Debe existir una poltica y procedimientos formales que aseguren que la informacin de facturacin y los datos personales de los
Contribuyentes deben estar encriptados tanto en su almacenamiento, trnsito y medios que los contengan.
El representante legal del Aspirante a PAC debe presentar un documento donde afirme que conoce y respetar el apego a las leyes apl
vigentes.
El aspirante deber indicar que conoce su responsabilidad de verificar el cumplimiento con dichas leyes.
El aspirante deber indicar que exime al SAT de cualquier responsabilidad derivada del incumplimiento de las leyes aplicables.
evisin de Seguridad
6 meses
6 meses
12 meses
6 meses
6 meses
12 meses
12 meses
12 meses
6 meses
6 meses
100 m
30 das
6 meses
10 minutos
Control
Declaracin de namespaces
Cliente Gratuito
Validacin de flujos
Conexin Remota
Manuales de Usuario
Cumplimiento con requisitos tcnicos y funcionales, que el cliente sea fcil de usar y cuente con
una interface amigable. Revisin documental de manuales
Cumplimiento del paso por cada componente que integre el servicio de punta a punta. Otorgar al
SAT usuarios para realizar pruebas
Los manuales deben integrar instrucciones claras para usuario, de atencin a usuario y de atencin
a usuario del SAT
E.1
F.1
G.1
H.1
I.1
Revisin
Revisin de la correcta declaracin de los namespaces del CFDI conforme al
Anexo 20 en cada uno de los rubros aplicables
Revisin y validacin de la integracin del Timbre Fiscal Digital y la addenda
cuando esta aplique, con sus namespaces conforme al Anexo 20
Validacin sintctica correcta del esquema de datos establecido.
Se deber representar correctamente dichos caracteres codificados en UTF-8
en la factura y en la generacin de la cadena original, as como en la
representacin impresa del CFDI.
Se debern remplazar todos los tabuladores, retornos de carro y saltos de
lnea por un espacios en blanco (toda secuencia de caracteres en blanco
intermedias se sustituyen por un nico carcter en blanco) Anexo 20.
El correcto sellado conforme a la cadena original (En este proceso se
realizan las dos validaciones criptogrficas, aplicables al CFDI y al Timbre del
PAC)
J.1
K.1
K.2
K.3
L.1
L.2