Matriz de Controles para la Revisin d

Nota: La presente matriz estar vigente a partir del 1 de enero de 2014. Durante el ao 2014, la pres
diciembre de 2014, ni a aquellas solicitudes de autorizacin presentadas hasta antes del 19 de diciem
2013.

rea de Control

Sub-rea de Control

ID Control

Postura de la Empresa sobre la Seguridad de la Informacin

1
Poltica de Seguridad de la
Informacin
2

Organizacin Interna
5
6

8
Clasificacin de la
Informacin

Clasificacin de la
Informacin

Seguridad en el Personal

10

Personal Interno

11

12

Personal Externo

13

14

15

16
Responsabilidades de los
Usuarios

17

18
19

Terminacin del Empleo

Terminacin del Empleo

20

Gestin de los Activos

21

Gestin de los Activos

22

23

Seguridad Fsica en Oficinas

24

Seguridad Fsica

25

Procesos de Gestin de la Seguridad

26
Gestin de Riesgos

27

28

Manejo de Incidentes y
Problemas

29

30

Monitoreo de Seguridad

31

32

33
Revisin del Cumplimiento

34

BCP

35

36

37

Gestin de la Capacidad

Gestin de la Capacidad

38

Seguridad de la Plataforma Tecnolgica

39
DRP

40

41

42

Control de Accesos Lgicos

Locales y Remotos

43

44

45

46

47

Seguridad Fsica

48

49

50

Controles Ambientales

51

52

53

Servicios de Soporte

54

55

Comunicaciones

56

57

58

Lneas Base de Seguridad

(Endurecimiento y
Actualizacin)

59

60
Respaldos
61
62

63
Gestin de Medios de
Almacenamiento

64

65

Criptografa

Criptografa
66

67
Pruebas de Seguridad
68
Proteccin Contra Cdigo
Malicioso

69

70
Separacin de Ambientes
71

72

73

74

Seguridad en Aplicativo

Seguridad en Aplicativo

75

76

77

Transaccionalidad

78

Encripcin de Datos

79

Cumplimiento Legal y Regulatorio

Cumplimiento con Leyes y

Regulaciones Aplicables

80

Controles para la Revisin de Seguridad para los Asp

partir del 1 de enero de 2014. Durante el ao 2014, la presente matriz no ser aplicable a los proveedores de ce
s de autorizacin presentadas hasta antes del 19 de diciembre de 2013 y resueltas con posterioridad al 1 de en

Control

dad de la Informacin
Poltica de Seguridad de la Informacin

Revisin de Poltica de Seguridad de la

Informacin
Compromiso de la Direccin

Acuerdos de Confidencialidad

Contacto con las Autoridades

Contacto con Grupos de Inters Especial
Revisin Independiente de la Seguridad de la
Informacin

Poltica de Clasificacin de la Informacin

Etiquetado y Manejo de la Informacin

Seleccin del Personal

Responsabilidades del Personal Interno

Capacitacin del Personal en materia de

Seguridad de la Informacin

Identificacin de Riesgos inducidos por terceros

Responsabilidades del Personal Externo

Uso de contraseas

Equipo desatendido

Escritorio limpio

Eliminacin de Derechos de Acceso

Devolucin de Activos

Responsabilidades del personal dado de baja

Inventario de Activos

Propiedad de los activos

Uso aceptable de activos

Permetro de Seguridad Fsica

Controles de Entrada

Anlisis de Riesgos

Mitigacin de Riesgos

Incidentes y Problemas

Notificacin al SAT

Definicin de Eventos de Seguridad

Bitcoras de Eventos

Monitoreo Activo de la Seguridad

Cumplimiento de polticas y procedimientos

Remediacin de incumplimientos

Plan de Continuidad del Negocio (BCP)

Pruebas de BCP

Capacidad Tecnolgica

Capacidad Operativa

Plan de Recuperacin de Desastres

Pruebas del DRP

Poltica de Control de Accesos

Altas, Bajas y Cambios de Accesos de Usuarios

Gestin de Privilegios

Gestin de Contraseas de Usuarios

Revisin de Permisos

Ubicacin del Centro de Datos

Control de Accesos Fsicos

Vigilancia y Monitoreo

Sealizacin

Medidas contra Incendios

Aire Acondicionado

Medidas contra Inundaciones

Instalacin Elctrica

Planes y Contratos de Mantenimiento

Prevencin y Deteccin de Intrusos

Proteccin Perimetral

Segmentacin de Redes

Lneas Base de Seguridad

Actualizaciones

Respaldos

Pruebas de Respaldos
Proteccin de Medios de Respaldo

Etiquetado

Destruccin o Borrado

Criptografa en servicios expuestos

Proteccin de Llaves y Certificados

Pruebas de Seguridad

Seguimiento a hallazgos de pruebas de

Seguridad
Proteccin contra Cdigo Malicioso

Separacin de Ambientes

Aislamiento de informacin de CFDI

Documentacin

Control de Accesos

Control de Cambios

Bitcoras

Expiracin de sesin por inactividad

Lnea base de seguridad

NTP

Encripcin de Datos de los Contribuyentes

Conocimiento de Leyes y Regulaciones Aplicables

evisin de Seguridad para los Aspirantes a PAC - Re

l ao 2014, la presente matriz no ser aplicable a los proveedores de certificacin de CFDI cuya autorizacin vig
es del 19 de diciembre de 2013 y resueltas con posterioridad al 1 de enero de 2014, siendo que stos estarn a

Interpretacin del Control

La empresa debe contar con un documento de Poltica de Seguridad de la Informacin autorizado. Debe estar publicado y disponible pa
personal interno y terceros que colaboren con la empresa

El documento de Poltica de Seguridad de la Informacin debe ser revisado peridicamente, (por lo menos cada 6 meses.

La Direccin de la empresa debe apoyar activamente la seguridad de la informacin y demostrar su compromiso al respecto.

La empresa debe tener acuerdos de confidencialidad y/o acuerdos de no divulgacin firmados por la empresa para con el SAT y por el p
interno y externo, y deben ser revisados de manera peridica (por lo menos cada 6 meses. Es importante que la responsabilidad del pe
que firma no 'caduque' ni siquiera cuando el personal deje de laborar para la empresa.

La empresa debe contar con procedimientos formales para mantener contacto y permitir investigaciones por parte de las autoridades
relevantes.
La empresa debe estar en contacto con grupos especializados en seguridad y/o asociaciones profesionales
La empresa debe realizar revisiones independientes de la Seguridad de la Informacin.

El trmino "independientes" se refiere a que deben ser realizados por personal distinto a los responsables del diseo o implementacin
controles, ya sea personal interno o externo.

La empresa debe contar con una poltica y procedimientos formales para la clasificacin de la informacin de acuerdo a su relevancia o
sensibilidad y en cumplimiento a las disposiciones del IFAI. Ver el rea de control "Cumplimiento Legal y Regulatorio".

La empresa debe contar con procedimientos formales para etiquetar y manejar la informacin tanto en formato electrnico como en fo
fsicos de acuerdo a su clasificacin.

Se debe llevar a cabo la verificacin de antecedentes de todos los candidatos a puestos internos de la empresa.

Se deben formalizar las responsabilidades del personal externo con respecto a la seguridad de la informacin.

El personal interno debe recibir una capacitacin en materia de Seguridad de la Informacin al inicio de sus labores en la empresa y de
peridica ( por lo menos cada 12 meses.

Se deben identificar los riesgos inducidos por terceros a la informacin y los medios de procesamiento de informacin de la empresa.

Se deben formalizar las responsabilidades del personal externo con respecto a la seguridad de la informacin.

La empresa debe contar con una poltica de uso de contraseas, donde se especifique la responsabilidad de los usuarios en el uso de l
mismas, caducidad, proteccin de las mismas, etc.

La empresa debe contar con una poltica de equipo desatendido, donde se especifique los requerimientos de seguridad para el equipo
el usuario no est presente.

La empresa debe contar con una poltica de Escritorio limpio, donde se especifiquen los requerimientos de seguridad para los puestos
trabajo.

La empresa debe contar con una poltica y procedimientos para llevar a cabo la eliminacin de accesos lgicos y fsicos en el personal
externo que ya no labore en la empresa.

La empresa debe contar con procedimientos para la devolucin de los activos que el personal tuvo asignado mientras laboraba para la
empresa.

Se deben revisar los contratos, clusulas y acuerdos de confidencialidad para garantizar que el personal dado de baja conserva sus
obligaciones con respecto a la confidencialidad de la informacin a la que tuvo acceso durante su estancia en la empresa.

Todos los activos deben estar claramente identificados. Se debe elaborar y mantener un inventario actualizado de todos los activos de
empresa.

Toda la informacin y los activos asociados con los medios de procesamiento de la informacin deben ser propiedad (responsabilidad)
parte designada de la empresa.

La empresa debe contar con una poltica y procedimientos para identificar, documentar e implementar las reglas para el uso aceptable
informacin y los activos asociados.

Se deben utilizar permetros de seguridad (barreras tales como paredes y puertas de ingreso controlado, policas o recepcionistas) para
proteger reas operativas y de oficina que contienen informacin de la empresa.

Se deben proteger las reas seguras mediante controles de entrada apropiados para asegurar que slo se permita acceso al personal
autorizado.

Se deber contar con un anlisis de Riesgos sobre el proceso de CFDI, que debe abarcar como mnimo:
-

Identificacin de los Activos involucrados

Identificacin de Amenazas
Identificacin de Vulnerabilidades
Estimacin de los Riesgos
Clasificacin de Riesgos
Priorizacin de los Riesgos a mitigar
Reporte de riesgos encontrados

Se deber realizar un plan de mitigacin de los riesgos encontrados como prioritarios en el anlisis de Riesgos.

La empresa debe contar con una poltica y procedimientos para la Gestin de Incidentes de Seguridad en el proceso de CFDI, que man
mnimo:
-

Identificacin de Incidentes y Problemas

Registro de Incidentes y Problemas
Notificacin y Escalacin de Incidentes y Problemas
Seguimiento de Incidentes y Problemas

La empresa debe contar con procedimientos de notificacin al SAT en caso de Incidentes o problemas que puedan comprometer la info
de los Contribuyentes o informacin de implementacin de la comunicacin con el SAT.

La empresa debe definir aquellos eventos de seguridad que van a monitorear, de acuerdo a su anlisis de riesgos, sin embargo, se deb
considerar como mnimo:
- Uso de cuentas privilegiadas.
- Acceso a informacin con clasificacin alta de confidencialidad.

La empresa debe implementar la creacin y resguardo de bitcoras donde se almacenen los eventos de seguridad relevantes. Las bit
deben ser resguardadas en un lugar seguro por lo menos durante 6 meses. Las bitcoras de eventos deben tener acceso controlado s
personal autorizado y se debe guardar un registro de la consulta de las mismas.

La empresa debe contar con procedimientos de monitoreo de los eventos de seguridad de los activos involucrados en el proceso de CF
de identificar los eventos de seguridad relevantes que ocurran en ellos

La empresa deber realizar revisiones peridicas (por lo menos cada 6 meses) para verificar que la operacin de la empresa cumple co
estipulado en las polticas y procedimientos requeridos en este documento. El personal que realice las auditoras debe ser independien
controles

La empresa debe realizar un plan de remediacin de los incumplimientos detectados en la revisin del cumplimiento.

La empresa debe contar con un BCP documentado y aprobado.

El BCP debe incluir el proceso de CFDI, incluyendo como mnimo:
Identificacin de los activos que le dan soporte al proceso.
Requerimientos de procesamiento, personal, informacin y todo lo necesario para garantizar la continuidad del servicio de CFDI.

La empresa debe contar con un plan de ejecucin de pruebas del BCP por lo menos cada 12 meses.

Se debe planear, monitorear, y ajustar el uso de recursos tecnolgicos (software, equipos, comunicaciones, etc) para asegurar el desem
requerido por los sistemas que dan soporte al proceso de CFDI por lo menos durante 12 meses.
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.

Se debe planear, monitorear, y ajustar el uso de recursos operativos (personal, herramientas, espacios) para asegurar el desempeo re
por los sistemas que dan soporte al proceso de CFDI por lo menos durante 12 meses.
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.

La empresa debe contar con un plan de recuperacin de desastres para su centro de datos que incluya por lo menos los activos necesa
para el funcionamiento del proceso de CFDI.

La empresa debe contar con un plan de pruebas del DRP.

La empresa debe tener una poltica y procedimientos formales de Control de Accesos que aplique por lo menos a todos los activos que
soporte al proceso de CFDI, misma que debe ser revisada y actualizada por lo menos cada 6 meses.

La empresa debe documentar procedimientos formales para las Altas, Bajas y Cambios de accesos de usuarios, que incluyan como mn
- Bloqueo de las cuentas por intentos fallidos de autenticacin.
- Bloqueo de cuentas por periodo de inactividad.

Los accesos remotos slo se debern proporcionar bajo circunstancias de excepcin y con un estricto proceso de autorizaciones y mon

La empresa debe contar con procedimientos formales para restringir y controlar la asignacin y uso de los privilegios.

La empresa debe contar con procedimientos formales de asignacin de contraseas, los procedimientos deben contar por lo menos co
siguientes reglas:
- Reglas para la creacin de contraseas (longitud mnima, histrico, caracteres permitidos, etc.).
- Las contraseas se deben encriptar en todos los activos que dan soporte al proceso de CFDI.

La empresa debe realizar peridicamente (por lo menos cada 6 meses) una revisin de los usuarios existentes en los sistemas de infor
activos, para verificar que sus permisos sigan siendo vigentes de acuerdo al procedimiento de altas o cambios de Accesos de Usuarios

El centro de datos debe estar asentado en lugares libres de altos riesgos, por lo menos a 100 m de lugares como gasolineras, gaseras,
acometidas de cableado de electricidad y gas, etc. y como una instalacin no evidente

El centro de datos debe estar protegido por un permetro de acceso fsico controlado, controles de acceso automatizados y procedimie
formales de control de accesos.
El personal que acceda al centro de datos no deber introducir medios de almacenamiento extrables sin autorizacin.
Las bitcoras de acceso debern resguardarse en un lugar seguro.

El centro de datos debe contar personal de vigilancia las 24 hrs y un sistema de monitoreo de las instalaciones (CCTV, etc).
El sistema de monitoreo debe almacenar los videos de vigilancia con historial de por lo menos 30 das y almacenarlos en un lugar segu
de las instalaciones principales.
El personal debe estar debidamente capacitado y contar con las herramientas necesarias para responder en caso de emergencias.

Las instalaciones deben contar con sealizacin que indique claramente:

- reas de acceso restringido.
- Rutas de evacuacin.
- Ubicacin del equipo de emergencia.

El centro de datos debe contar con medidas de proteccin contra incendios

El centro de datos debe contar con un sistema de aire acondicionado

El centro de datos debe contar con medidas de proteccin contra inundaciones

El centro de datos debe contar con medidas de seguridad en el cableado y medidas de respaldo de energa de emergencia.
La infraestructura elctrica debe revisarse por lo menos cada 6 meses para garantizar su buen funcionamiento

El centro de datos debe contar con planes de mantenimiento y contratos vigentes con proveedores de los medios y dispositivos de con
ambientales y servicios de soporte

Las redes dentro del centro de datos deben contar con dispositivos de prevencin o deteccin de Intrusos.

La red debe estar protegida con dispositivos de seguridad que apliquen listas de control de acceso.

Las redes deben estar segmentadas para proteger el flujo de informacin en redes con distintos tipos de usuarios.

Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que dan soporte al proceso de CFDI d
tener contar con lneas base de seguridad documentadas e implementadas, que consideren como mnimo:
- Proteccin del BIOS en arranque de los sistemas.
- Deshabilitacin de unidades de almacenamiento removibles.
- Instalacin del S.O. en particin exclusiva.
- Inhabilitacin de puertos, protocolos usuarios y servicios innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema operativo.

Los activos que dan soporte al proceso de CFDI deben contar con los ltimos parches de seguridad y actualizaciones emitidas por el fa
de los servidores y sistemas operativos que hayan pasado por un procedimiento de pruebas previas a la implementacin

Se deben generar respaldos de los activos y la informacin que dan soporte al proceso de CFDI, con la periodicidad definida por la emp

Se debe contar con un plan de pruebas de los respaldos para verificar que son funcionales

Los medios donde se almacenan los respaldos debern estar protegidos en un rea especfica para este efecto, de preferencia en un s
alterno, en medios encriptados y con medidas de proteccin contra el acceso no autorizado.

Los medios donde se almacene informacin de los contribuyentes y del SAT deber estar inventariada y etiquetada con el nivel ms al
confidencialidad definido en el proceso de clasificacin de informacin, y se deber dar el tratamiento de acuerdo a la clasificacin.

Los medios donde se almacenen respaldos o informacin de los contribuyentes o del SAT debern estar sujetos a un procedimiento for
destruccin o borrado seguro que debe contener como mnimo:
- Solicitud y Autorizacin explcitas de la destruccin o borrado.
- Actas de destruccin o borrado firmadas por el personal que lo realiza.

Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes, debern contar con mecanismos de
criptografa.

Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto con algn material opaco y contar
salvaguardas que impidan que sea abierto o que invaliden la informacin en caso de que sea forzado, adems de contar por lo menos
siguientes medidas:
- Control de Accesos Fsicos y Lgicos (Slo personal autorizado).
- Registro de Hashes de Control.
- Segregacin de roles con acceso a los dispositivos de almacenamiento de llaves y certificados.
- Instalacin nica de la llave provista por el SAT (respaldada por un acta firmada por los responsables de su instalacin y custodia).

Se deben realizar, documentar y dar seguimiento a pruebas de seguridad en los activos que dan soporte al proceso de CFDI al igual qu
propio aplicativo de CFDI.

Se debe realizar un plan para atender los hallazgos detectados durante las pruebas de seguridad.

Todos los activos tecnolgicos que dan soporte al proceso de CFDI debern contar con una solucin de proteccin contra cdigo malici
instalada y actualizada.

Los ambientes de desarrollo, pruebas y produccin deben estar separados fsica o lgicamente unos de otros y todos deben tener su p
administracin de accesos.

La informacin del proceso de CFDI debe estar separada fsica o lgicamente de la informacin de otros procesos o aplicativos proporc
por la empresa.

El aplicativo de CFDI debe contar con documentacin tcnica completa, as como la documentacin del proceso de CFDI.
La documentacin tcnica debe incluir como mnimo:
- Flujo de Datos
- Modelo y Diccionario de Datos
- Diagrama de implementacin

El aplicativo debe contar con control automatizado de accesos, de acuerdo a las polticas y procedimientos de control de accesos defin
la empresa.
El aplicativo debe contar con un proceso formal de control de cambios, que debe incluir como mnimo:
- Estimacin de impacto de cambios
- Pruebas
- Autorizacin
- Liberacin de cambios
- Reversos de cambios

El aplicativo debe contar con bitcoras de acceso y uso, que deben contener como mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Registro de intentos de acceso fallidos.
- Registro de accesos exitosos.
- Registro de actividad de los usuarios.
- Registro de cierre de sesin ya sea por inactividad o por parte del usuario.
- Registro de consulta de las propias bitcoras.
- Registro de errores y/o excepciones.
El aplicativo debe contar con sesiones que expiren despus de 10 minutos de inactividad.

El aplicativo debe tener aplicada una lnea base de seguridad que debe incluir como mnimo:
- Implementacin de autenticacin de los usuarios (internos o clientes).
- Implementacin de mecanismo de no repudio de transacciones.
- Proteccin contra inyeccin de cdigo
- Inicio de sesin seguro
- Validacin de datos de entrada / salida para evitar errores en el procesamiento de la informacin.
- Manejo de errores.

Las transacciones de timbrado del proceso de CFDI deben estar sincronizadas usando un servidor de NTP sincronizado con GPS.

Debe existir una poltica y procedimientos formales que aseguren que la informacin de facturacin y los datos personales de los
Contribuyentes deben estar encriptados tanto en su almacenamiento, trnsito y medios que los contengan.

El representante legal del Aspirante a PAC debe presentar un documento donde afirme que conoce y respetar el apego a las leyes apl
vigentes.
El aspirante deber indicar que conoce su responsabilidad de verificar el cumplimiento con dichas leyes.
El aspirante deber indicar que exime al SAT de cualquier responsabilidad derivada del incumplimiento de las leyes aplicables.

evisin de Seguridad

vigente en el ejercicio de 2013 fue prorrogada hasta el 31 de

a lo dispuesto en la matriz de controles vigente en el ejercicio

Periodicidad / Parmetro Requerido

6 meses

6 meses

12 meses

6 meses

6 meses

12 meses

12 meses

12 meses

6 meses

6 meses

100 m

30 das

6 meses

definida por la empresa

10 minutos

Matriz de Controles para la Revisi

ID

Control

Declaracin de namespaces

Declaracin de Addenda y sus namespaces

Validacin de Datos requeridos

Utilizacin de caracteres especiales y

secuencias de escape

Caracteres en blanco, tabuladores o retornos

de carro

Sellado conforme a la cadena original para el

CFDI y para el Timbre Fiscal Digital

Verificacin de la validacin de cada

comprobante

Cliente Gratuito

Validacin de flujos

Conexin Remota

Manuales de Usuario

Confidencialidad y Niveles de Servicio

Controles para la Revisin de Seguridad para los As

Descripcin
Declaracin de namespaces
Declaracin de Addenda y
namespaces
Validacin de Datos requeridos
Utilizacin de caracteres especiales
y secuencias de escape
Caracteres en blanco, tabuladores o
retornos de carro
Verificacin del correcto sellado
conforme a la cadena original para
el CFDI y para el Timbre Fiscal
Digital

Verificacin de la validacin de cada

comprobante para la emisin de un
timbre

Cumplimiento del cliente gratuito

con los estndares CFDI emitidos
por el SAT. (Anexo 20 y Matriz de
Controles)

Validacin de la creacin de un CFDI

desde el contribuyente hasta su
almacenamiento en el SAT

Verificacin de la aplicacin por

medio de una conexin remota

Entrega de Manuales de Usuario

para una Mejor Administracin

Documentos de Control en los

cuales se establezca y especifique,
los acuerdos de Servicio y
Confidencialidad

a Revisin de Seguridad para los Aspirantes a PAC Criterio de revisin

Verificar la correcta definicin de namespaces, haciendo la referencia a la ruta publicada por el SAT
en donde se encuentra el esquema de XSD. (Referencia Anexo 20)
Si se requiere utilizar esta funcionalidad, se deber definir el nuevo namespace dentro del nodo
Comprobante y publicar la ruta del esquema XSD para la validacin
Validacin de los campos obligatorios del CFDI que cumplan con el esquema de datos
Utilizacin de caracteres especiales y secuencias de escape Generar un CFDI que contenga
caracteres especiales y secuencias de escape

Generar un CFDI con 2 o ms caracteres en blanco, tabuladores y retornos de carro

Validacin criptogrfica de los sellos

Cumplir con todas las validaciones necesarias para la emisin de un timbre

Cumplimiento con requisitos tcnicos y funcionales, que el cliente sea fcil de usar y cuente con
una interface amigable. Revisin documental de manuales

Cumplimiento del paso por cada componente que integre el servicio de punta a punta. Otorgar al
SAT usuarios para realizar pruebas

La conexin Remota debe permitir el acceso desde la Red del SAT

Los manuales deben integrar instrucciones claras para usuario, de atencin a usuario y de atencin
a usuario del SAT

Se debern mostrar los documentos de Acuerdos de Niveles de Servicio (SLA) y de Convenio de

Confidencialidad, entre el Proveedor Autorizado y el Contribuyente

es a PAC - Validacin Tecnolgica

Id. Sec
A.1
B.1
C.1
D.1

E.1

F.1

G.1

H.1

I.1

Revisin
Revisin de la correcta declaracin de los namespaces del CFDI conforme al
Anexo 20 en cada uno de los rubros aplicables
Revisin y validacin de la integracin del Timbre Fiscal Digital y la addenda
cuando esta aplique, con sus namespaces conforme al Anexo 20
Validacin sintctica correcta del esquema de datos establecido.
Se deber representar correctamente dichos caracteres codificados en UTF-8
en la factura y en la generacin de la cadena original, as como en la
representacin impresa del CFDI.
Se debern remplazar todos los tabuladores, retornos de carro y saltos de
lnea por un espacios en blanco (toda secuencia de caracteres en blanco
intermedias se sustituyen por un nico carcter en blanco) Anexo 20.
El correcto sellado conforme a la cadena original (En este proceso se
realizan las dos validaciones criptogrficas, aplicables al CFDI y al Timbre del
PAC)

1. Que cumpla la estructura XML (XSD y complementos aplicables)2. Que

cumpla con el estndar de XML (Conforme al W3C)3. Que el CSD del Emisor
corresponda al RFC que viene como Emisor en el Comprobante 4. Que el
CSD del Emisor haya sido firmado por uno de los Certificados de Autoridad
de SAT5. que la llave utilizada para sellar corresponda a un CSD (no de
FIEL)6. que el CSD del Emisor no haya sido revocado, utilizando la lista de
CSD7. que el sello del Emisor sea vlido8. Que la fecha de emisin est
dentro de la vigencia del CSD del Emisor9. Que exista el RFC del emisor
conforme al rgimen autorizado (Lista de validacin de rgimen)10. que el
rango de la fecha de generacin no sea mayor a 72 horas para la emisin
del timbre11. que la fecha de emisin sea posterior al 01 de Enero 2011 12.
que no contenga un timbre previo13. que el PAC no haya timbrado
previamente dicho ComprobanteLa previa validacin de la vigencia de los
certificados usados en el sellado del CFDI
Validar que el cliente gratuito cumple con los requisitos tcnicos emitidos
por el SAT: Verificar que el cliente gratuito tenga las funcionalidades de
autenticacin de usuarios, administracin de comprobantes emitidos,
creacin de representacin impresa. Verificar que el cliente gratuito es
multiplataforma y tecnolgicamente neutral. Revisin de manuales de
usuario, de atencin a usuarios y manual de pruebas para el SAT
Verificar que el servicio ofrecido desde el cliente gratuito y que al prestar la
certificacin (timbrado) a terceros, se cumpla con la entrega del CFDI al SAT
y el envo del Timbre Fiscal Digital al cliente que lo genere

J.1

K.1

K.2

K.3

L.1

L.2

Realizar una conexin remota exitosa al aplicativo del Proveedor y realizar

pruebas conforme a los manuales de usuario y usuario para el SAT
entregados . (generacin de CFDI, administracin de CFDI, impresin, etc.)
El manual de usuario debe contener un ndice y los puntos que describan los
pasos a manera de gua para hacer uso del servicio y sus funcionalidades
El manual de atencin a usuario debe contener un ndice y los puntos donde
se informe al usuario las formas de contacto y resolucin de problemas con
el servicio y sus funcionalidades
El manual de usuario SAT debe contener un ndice y los puntos que
describan los pasos para que el SAT realice las pruebas remotas o en sitio
Mostrar el Documento de Acuerdo de Niveles de Servicio (SLA). En particular
para la Aplicacin Gratuita se debe cumplir con lo publicado en la pgina de
internet respecto a la funcionalidad y servicios respectivos
Mostrar el Documento de Convenio de Confidencialidad, mediante el cual el
Proveedor Autorizado se compromete a hacer buen uso de la informacin del
Contribuyente.