x

MATRIZ DE CONTROLES DE SEGURIDAD

Manifiesto bajo protesta de decir verdad que cumplo y cuento con el 100% de la evidencia fehaciente de cada control de esta matriz as como la correcta funcionalidad de sellado de facturas electrnicas.

Alcance: "Estos controles aplican a toda la infraestructura y aplicaciones que soportan los servicios que el proveedor otorga en nombre del SAT"
ID Control Control INFRAESTRUCTURA TECNOLGICA Centro de Cmputo
El Centro de Cmputo deber estar alejado como mnimo 100mts de lugares de alto riesgo como gasolineras, bancos, gaseras, etc. El Centro de Cmputo debe estar asentado en lugares libres de alto riesgo como minas, acometidas de cableado de luz y gas, etc. El Centro de Cmputo debe contar con proteccin perimetral adecuada que impida el acceso fcil desde el exterior y de ser posible, debe tener algn elemento adicional de proteccin como malla de picos, malla elctrica, etc. 1.1 1.2 1.3 2.1 2.2 2.3 2.4 El Centro de Cmputo debe contar con paredes de concreto, puerta blindada, piso falso, acceso ya sea por sistema biomtrico o tarjeta de proximidad o mnimo, con acceso por teclado. 2.5 2.6 2.7 El Centro de Cmputo debe contar con sistema contra incendios (Gas FM200), detectores de humo. El Centro de Cmputo debe contar con cableado estructurado que cubra la necesidad de continuidad en el servicio de Telecomunicaciones. Para el centro de cmputo se debe contemplar seguridad de interconectividad. El Centro de Cmputo debe contar con un adecuado sistema de aire acondicionado para evitar problemas de sobrecalentamiento en el equipo. Restriccin de acceso de medios de almacenamiento a personal externo e interno que acceda al Centro de Cmputo. Revisiones peridicas por parte de la Unidad Verificadora de Instalaciones Elctricas u otro rgano de revisin y validar que el sistema de tierra de seguridad mantiene valores menores a 2 ohms. El sistema elctrico debe ser monitoreado en lnea por un sistema automatizado integrado al sistema de monitoreo general del Centro de Datos. 3.1 El Centro de cmputo est ubicado en un lugar seguro? Hay una distancia mnima de infraestructura de alto riesgo de por lo menos 100 mts? El Centro de cmputo se encuentra asentado en lugar seguro? es visible a simple vista o est en una instalacin no evidente? La proteccin perimetral impide el acceso desde el exterior? Si es una barda, la barda tiene mnimo 3 metros de altura? Cuenta con malla de picos, elctrica, otra?

Descripcin

Criterio de Revisin

ID Sec

Revisin

Cumple/ No Cumple

Observaciones

Tipo de Control

Ubicacin Fsica

Ubicacin del Centro de cmputo libre de riesgos de alto impacto

Estructura

Centro de Cmputo con proteccin estructural, perimetral, y con material seguro en muros, proteccin en rejas, etc.

El Centro de Cmputo cuenta con paredes de concreto? Cuenta con puerta blindada? Acceso Electrnico? Qu tipo? El piso falso es modular sin permitir espacio entre los mdulos? Seguridad contra incendios mnimo FM200?

3.2

Instalacin de cableado estructurado por personal certificado.

3.3

Los equipos de comunicaciones deben estar interconectados por fibra ptica o UTP categora 6 gigabit.

Infraestructura

El Centro de Cmputo debe contar con los elementos fsicos de seguridad necesarios para su proteccin y contra cualquier contingencia.

3.4

Cuenta con aire acondicionado que enfre los equipos de cmputo y comunicaciones?

3.5

Contar con un procedimiento de revisin para restringir o autorizar el acceso de medios de almacenamiento (discos duros porttiles, USB, celulares, Blackberry).

3.6

Revisin semestral de las instalaciones elctricas

3.7

Evidencia del monitoreo en lnea al sistema de monitoreo general del Centro de Datos. Equipo UPS para soportar continuidad al menos por 30 minutos.

4.1

Instalacin elctrica

Instalacin elctrica, rieles para el cableado, plantas El Centro de Cmputo debe contar con Equipamiento de energa de emergencia, corriente regulada, etc. elctrico que permita mantener la continuidad del servicio.

Instalacin elctrica

Instalacin elctrica, rieles para el cableado, plantas El Centro de Cmputo debe contar con Equipamiento de energa de emergencia, corriente regulada, etc. elctrico que permita mantener la continuidad del servicio.

4.2 4.3 5.1

Planta de energa que permita mantener la continuidad del servicio por al menos 1 da y con capacidad de recarga de combustible. Se cuenta con alimentacin elctrica de dos fuentes redundantes. Los planes de mantenimiento son actualizados por lo menos anualmente? Evidencia. Los equipos UPS y Planta de emergencia se prueban por lo menos cada 3 meses? - Registro de pruebas con al menos Fecha y hora de la prueba. Responsable de la ejecucin de las pruebas. Momento de corte de corriente. Desempeo de los equipos UPS (tiempo total del corte de corriente/Capacidad de carga final). Momento del Inicio de la planta. Capacidad de combustible de la planta al inicio de la prueba. Capacidad de combustible de la planta al final de la prueba. Observaciones. Firma del personal del centro de datos responsable de la prueba. .

Mantenimiento

Los dispositivos y controles debern recibir mantenimiento peridico, de acuerdo con las especificaciones del fabricante

El Centro de Cmputo debe contar con un Plan de Mantenimiento para los equipos, cableado, sistemas contra incendio, plantas, etc.

5.2

Documentacin necesaria de BCP que consideran las aplicaciones e infraestructura requerida para garantizar la continuidad de la operacin.

6.1

Se cuenta con la Documentacin del Plan de Continuidad de Negocio en el que se incluye el Centro de Cmputo, infraestructura, Equipamiento, Aplicativo, SO y BD?

Planes de Continuidad y Contar con la documentacin del Plan de Continuidad de Negocio (BCP) y Plan de de Recuperacin en Recuperacin en Caso de Desastres (DRP) Caso de Desastres

Los planes de continuidad son probados al menos anualmente para verificar su efectividad y eficiencia, y las desviaciones son atendidas de manera inmediata, las desviaciones son solventadas en menos de 3 meses.

6.2

Evidencia de pruebas realizadas.

Documentacin necesaria de DRP que consideran las aplicaciones e infraestructura requerida para garantizar la continuidad de la operacin.

6.3

Se cuenta con la Documentacin del Plan de Recuperacin en Caso de Desastres en el que se incluye el Centro de Cmputo, infraestructura, Equipamiento, Aplicativo, SO y BD?

Los planes de continuidad son probados al menos anualmente para verificar su efectividad y eficiencia, y las desviaciones son atendidas de manera inmediata, las desviaciones son solventadas en menos de 3 meses.

6.4

Evidencia de pruebas realizadas.

Telecomunicaciones
El Centro de Cmputo debe contar seguridad en los dispositivos de telecomunicaciones, cuarto de control protegido, y garantizar la continuidad de las telecomunicaciones. Infraestructura de telecomunicaciones, proteccin de dispositivos, etc. Implementacin de dispositivos y controles para prevenir el acceso no autorizado a los sistemas. Segmentacin de redes Segmentacin de redes en zonas, implementando dispositivos firewall para restringir el acceso a los sistemas que almacenan y procesan la informacin relacionada con el SAT,CFDI y contribuyentes. La infraestructura de red se ha configurado para que nicamente sistemas e individuos autorizados tengan acceso a los sistemas con informacin relacionada con el SAT,CFDI, y contribuyentes. 7.1

Inspeccin fsica del cuarto de comunicaciones para verificar que cumpla con los requerimientos de seguridad definidos. Inspeccin fsica y documental para verificar la segmentacin de redes e implementacin de dispositivos de red para restringir el acceso a los sistemas con informacin relacionada con el SAT,CFDI, y contribuyentes. Inspeccin en sitio de los equipos, y/o ejecucin de comandos para extraer la configuracin de los dispositivos de red.

Servicio de Telecomunicaciones

7.2

7.3

Control de Acceso
El Centro de Cmputo debe contar con personal de vigilancia de manera permanente, y suficiente para asegurar el acceso controlado y seguro, as como con personal de seguridad que monitoree las instalaciones para atender problemas. 8.1 Se cuenta con guardias de seguridad en cada punto de control para proteger las instalaciones y asegurar el acceso controlado? El personal de seguridad cuenta con equipo de comunicaciones y seguridad, as como acceso a nmeros de emergencia? Se cuenta con bitcora de acceso tanto a las instalaciones como al centro de cmputo? Las bitcoras deben indicar al menos el nombre de la persona que acces, hora y fecha de entrada, motivo, persona que autoriza su acceso si es que no tiene acceso permanente, personal policial que lo acompa, firmas de ambos. La persona que accede entrega credencial oficial con fotografa? Evidencia.

8.2

Personal de seguridad permanente, procedimientos

Seguridad fsica policial de vigilancia y acceso a las instalaciones mediante

bitcoras, gafetes, credenciales, etc. Toda persona que acceda al Centro de Computo y en general a las instalaciones, deber registrar su acceso en una bitcora destinado para ello.

8.3

8.4

Personal de seguridad permanente, procedimientos

Seguridad fsica policial de vigilancia y acceso a las instalaciones mediante

bitcoras, gafetes, credenciales, etc. Toda persona que acceda al Centro de Computo y en general a las instalaciones, deber registrar su acceso en una bitcora destinado para ello.

8.5

Se cuenta con seguridad para el resguardo de la bitcora? Se mantienen los registros de acceso de los ltimos 6 meses? Evidencia. Se cuenta con sealizacin clara y distincin cdigo de colores de reas crticas de acceso controlado?

Las instalaciones deben contar con sealizacin que indique claramente reas sensibles y reas restrictivas a los visitantes y personal no autorizado. Las puertas de emergencia de las instalaciones y lugar de resguardo de equipo contra incendio y dems equipo para uso en caso de emergencias, debe estar perfectamente sealizado.

9.1

9.2

Inspeccin fsica y/o documental para asegurar que las instalaciones del centro de cmputo y de las instalaciones en general, cuentan con sealizacin clara sobre rutas de evacuacin y en general de las instalaciones. Inspeccin fsica y/o documental para verificar que las puertas de emergencia: - No pueden ser abiertas desde el exterior. - Activan una alarma visual y sonora a su apertura. El personal que accede al Centro de Cmputo y a las instalaciones, porta en todo momento durante su estancia gafete o credencial autorizada? El personal de la empresa que no cuenta con credencial, tambin deja identificacin oficial con fotografa y los canjea por gafete autorizado. El acceso a las instalaciones y al centro de cmputo, es mediante dispositivos de control de acceso electrnicos, biomtricos, etc.? Cul(es)? La informacin de acceso que se registra indica persona que accede e informacin completa de la persona, fecha y hora. El personal de acceso al centro de cmputo es reducido y se justifica por razones operativas o del negocio. Los registros estn protegidos y se evita su posible modificacin o eliminacin? Evidencia. Existen bitcoras, videos o cualquier evidencia de que el personal policial acompaa a los visitantes al Centro de Cmputo? Cul(es) es(son)?

Sealizacin

Centro de cmputo seguro e instalaciones en general sealizado, que indiquen reas seguras y/o Las puertas nicamente pueden ser abiertas desde el interior crticas del inmueble, y emiten una alarma sonora a su apertura.

9.3

9.4 Distincin de reas en los gafetes que se le entregan al personal visitante o a empleados sin credencial autorizada. 9.5

10.1 Mecanismos de control de acceso electrnicos, biomtricos o de tarjetas de proximidad para acceso, puertas con dispositivos o teclados de combinacin numrica, etc. Se requiere que tanto para acceso al centro de cmputo como en general para las instalaciones, se cuente con mecanismos electrnicos, biomtricos, de tarjetas de proximidad o mnimo de teclado electrnico para el control de acceso.

10

Control de Acceso Electrnico

10.2

10.3 10.4

11

Visitas, proveedores

Los accesos por mantenimiento, fallas y otros, Toda persona que acceda al Centro de Cmputo ya sea por deben ser controlados y acompaados por personal visita, mantenimiento a equipo, infraestructura, sistemas, de seguridad etc. o por contingencia, deber ser acompaado por personal de vigilancia para verificar los trabajos realizados.

11.1

12.1 El Centro de Cmputo y en general las instalaciones debern contar con cmaras de vigilancia cuyo mecanismo deber ser resguardado y administrado correctamente, tanto para su uso como para las cintas de respaldo y su resguardo.

12

Cmaras de Seguridad

Vigilancia electrnica mediante videos de seguridad, su respaldo y resguardo

12.2 12.3 12.4

Existen Cmaras de Vigilancia para acceso y movimientos en las instalaciones y Centro de cmputo? Identificarlas y mostrar cuarto de control Existen bitcoras o evidencia de que se llevan a cabo respaldos de los videos de las cmaras de Seguridad? Periodicidad de los respaldos? Los videos son resguardados en lugar seguro? Se guarda una copia en lugar distinto a las instalaciones principales?

Equipo de Cmputo
El Aplicativo deber estar alojado en equipo de cmputo actualizado y que cuente con los elementos que garanticen el rendimiento y funcionalidad requeridos por el aplicativo y sobre todo por el servicio. Evidencia documental del registro del modelo del equipo, el tamao de la memoria y capacidad en disco duro y del anlisis de dimensionamiento inicial de los requerimientos de hardware y software.

13.1

Configuraciones para protegerse de posibles ataques fsicos.

13.2

Mantener actualizado el firmware, establecer contraseas complejas para el arranque del equipo y la configuracin de la BIOS, deshabilitar el inicio de sistema desde cualquier unidad que no sea el disco duro principal, deshabilitar los dispositivos USB. Evidencia de las actualizaciones y configuraciones base. Generar una particin exclusiva para el sistema operativo. No instalar componentes de sistema que no sean necesarios para el funcionamiento del aplicativo (puertos y servicios innecesarios). Debe contar con un servidor de actualizaciones para mantener actualizadas todos las actualizaciones del fabricante. Probar en entorno controlado las actualizaciones antes de instalarlas. Evidencia.

Instalacin del sistema operativo.

13.3

Configuracin adecuada de servicios de actualizaciones automticas.

13.4

13

Tecnologa Actualizada Equipo de cmputo actualizado

13

Tecnologa Actualizada Equipo de cmputo actualizado

Instalacin, configuracin y actualizacin de programas de seguridad.

13.5

Contar con agentes de seguridad como antivirus, antispyware y HIPS Detector de Intrusos de Host. Evidencia. -Ipsec Reglas de entrada y salida de trfico Cifrado de comunicaciones Evitar conexiones a sistemas no autorizados -Windows Firewall / IPTable Definicin de aplicaciones vlidas Demostrar que estn renombrados el Administrador e invitado. Deshabilitar todos aquellos protocolos de red innecesarios en el sistema y limitar el uso de los mismos al de TCP/IP.

Firewalls locales (proteccin en la DMZ).

13.6

Renombrar el usuario Administrador y posterior deshabilitar las cuentas estndar del sistema. Configuracin de los protocolos de Red.

13.7

13.8

Configuracin de acceso remoto.

13.9

Es recomendable deshabilitar el acceso remoto, a menos que sea estrictamente necesario. Sin embargo, cuando es necesario tener control remoto de la mquina, es preciso configurarlo de manera adecuada, restringiendo el acceso a un nmero muy limitado de usuarios, restringiendo al mnimo las conexiones concurrentes, tomando cuidado en la desconexin y cierre de sesin y estableciendo un canal cifrado de comunicaciones para tales propsitos, como SSH (en caso de Linux o Unix).

14

Sistema Operativo

Versin actualizada

El sistema operativo instalado en el equipo deber ser el adecuado para su correcto funcionamiento.

14.1

Indicar con qu versin de SO cuenta el equipo.

15.1

Se han definido procedimientos y herramientas para monitorear la capacidad de la infraestructura tecnolgica y determinar si se requiere incrementar la capacidad para cumplir con los requerimientos actuales y futuros de la operacin? Como mnimo se debe registrar tiempos de procesamiento, Capacidad de almacenamiento, Enlaces de redes.

15

Capacidad

Especificaciones tcnicas actualizadas

La infraestructura y el equipo de cmputo deber contar con el control de capacidades y rendimiento. 15.2

Inspeccin documental de archivos de configuracin y/o entrevistas con el personal del PAC para determinar si se han implementado procedimientos para la evaluacin semestral de indicadores clave de operacin de la infraestructura en relacin con los requerimientos actuales y las tendencias de crecimiento identificadas. Inspeccin de documentacin sobre los anlisis realizados, las decisiones y los planes de accin para determinar si se han tomado acciones para atender las desviaciones.

15.3

16.1

Se cuenta con un registro de inventario de los medios empleados? El registro debe contener al menos Tipo de medio, tipo de informacin almacenada. Se cuenta con un registro de los medios destruidos? El documento como mnimo deber contener la firma del responsable, motivo de la baja de los medios, el nombre del responsable, cantidad de dispositivos, fecha, hora y comentarios adicionales.

16

Retiro de Discos

Documentacin y polticas para el retiro de discos duros, cintas, discos ptimos y cualquier otro medio electrnico directamente ligado al proceso

Se debe contar con el registro de todos los medios electrnicos que tienen relacin con el proceso, adems de contar con procedimientos para el retiro de los medios electrnicos ya sea por dao, obsolescencia o que se haya cubierto su vida til.

16.2

16.3

Se destruye el medio en caso de obsolescencia, por dao o al haber cubierto su vida til? Indicar proceso y generar Acta de Destruccin o documento que avale y deje constancia de la accin.

17

Servidor de Tiempo

Integracin de un servicio de tiempo GPS

El proveedor debe contar con un servidor de tiempo NTP, con una sincronizacin por medio de un GPS en su infraestructura.

17.1

Se cuenta con un servidor de tiempo NTP sincronizado a travs de GPS.

APLICATIVO Desarrollo

18 Arquitectura

Caractersticas que debe contemplar el diagrama de Se debe entregar el mapa de conectividad y equipamiento en Arquitectura y si es posible, incluir un ejemplo o el que se muestre la interoperabilidad entre los mnimos requisitos contribuyentes, el Proveedor de Servicios y el SAT. Entrega de documentacin que indique la administracin de claves de acceso. Implementacin de Controles para el Alta, Cambios y Baja de los usuarios. Implementacin de Controles y reglas para el Alta, Cambios y Baja de los usuarios. Las claves de acceso estarn sujetas a las polticas de control de acceso, cancelacin de claves, baja por rotacin o salida de personal. Se deber bloquear la clave de acceso al existir un mximo de 3 intentos fallidos. Polticas de Control de Acceso Se deber dar de baja la clave de acceso, por un mnimo de 30 das de inactividad.

18.1

Se cuenta con diagrama de Arquitectura?

19.1

Mecanismo de Administracin y Control de Acceso

Documentacin de los procedimientos del mecanismo de control de acceso que indique cmo se lleva a cabo la accin. Se especifican las reglas para el alta, baja y cambios de claves de acceso? Mostrar Procedimiento. Se requiere evidencia (formatos, manuales, otro) de las altas, bajas, cambios autorizados. Identificar claramente la solicitud, el solicitante, los roles solicitados, el autorizador y su firma o Vobo de autorizacin. El mecanismo de control de acceso bloquea la clave al fallar mnimo en 3 intentos? La clave se da de baja por inactividad mnimo en 30 das? El proceso es manual o es automtico? Las polticas de control de acceso son revisadas por lo menos cada 6 meses? Evidencia. Depuracin de claves de acceso de acuerdo a los movimientos registrados por el rea de RH, considerando autorizaciones de reas de Negocio.

19.2

19.3

19.4 19.5 19.6

19

Control de Acceso

Las polticas de control de acceso debern ser revisadas y actualizadas por lo menos cada 6 meses. 19.7

Definicin de longitud de claves, estructura de claves.

Las claves de acceso debern estar compuestas de 8 caracteres para su adecuada administracin. Las claves de acceso deben ser de fcil definicin para que estas puedan ser fcilmente identificadas.

19.8 Las claves de acceso estn conformadas por 8 caracteres? 19.9 La construccin de las claves de acceso impide que sea la misma que el usuario o que sea un espacio en blanco? Se debe seguir un estndar institucional para la creacin de cuentas de acceso, por ejemplo el uso de RFC corto. Se emiten responsivas cada vez que se asigna una nueva clave de acceso? Existe un procedimiento para la asignacin y seguimiento de las responsivas de control de acceso? Las contraseas de acceso son de al menos 8 caracteres? Las contraseas de acceso incluyen al menos una mayscula? Las contraseas de acceso incluyen al menos un caracter especial? El sistema obliga al usuario a cambiar la contrasea una vez que el usuario realiz el primer inicio de sesin en el sistema? La clave de acceso es bloqueada al fallar mnimo en tres ocasiones seguidas? El sistema de control de acceso obliga al usuario a cambiar su contrasea mnimo cada 30 das? El sistema de control de acceso impide al usuario ingresar una contrasea igual, como mnimo tres veces anteriores ? Se cuenta con el inventario del Proceso y Activos de Informacin delCFDI, debidamente requisitado? El formato de Clasificacin se apega mnimo a los criterios del IFAI? Fue llenado y firmado por el responsable del proceso deCFDI? Estn habilitadas las Pista de Auditoria del Aplicativo, Sistema Operativo y Base de Datos, de tal forma que se le pueda dar seguimiento a accesos de Sper Usuario y de usuarios privilegiados y con permisos de sper usuario? La pista de auditoria indica quin ejecut una accin o transaccin? La pista de auditoria indica la fecha y la hora de ejecucin de una accin o transaccin? La pista de auditoria indica qu accin o transaccin se ejecut?

19.10 Estndares para la creacin de cuentas. Administracin, asignacin y procedimiento de claves. Revisin peridica de los accesos provistos, dando seguimiento a las desviaciones La asignacin de las claves de acceso, debern estar respaldadas por sus respectivas Responsivas de asignacin y uso de claves. 19.11 19.12 20.1 Las contraseas de acceso debern tener al menos 8 caracteres y estar compuesto por al menos una mayscula, un caracter especial y un nmero. 20.2 20.3 Longitud de contraseas y polticas para estructura Cambio de contrasea en el primer inicio de sesin en el de las mismas, rotacin de contrasea, revocacin sistema. Se deber de bloquear la clave con un mximo de 3 intentos de acceso, intentos fallidos, etc. fallidos. La contrasea deber expirar en un mximo de 30 das, lo que forzar a teclear una nueva contrasea. El aplicativo no deber permitir repetir una contrasea al menos en tres ocasiones. Llenado de Formato Se deber llenar adecuadamente el formato de clasificacin de la informacin, de tal forma que se pueda llevar con esto el Anlisis de Riesgos. El formato de clasificacin de la informacin deber ser debidamente llenado y firmado por el responsable del proceso que aplica para el manejo de losCFDI. 20.4 20.5 20.6

20

Contraseas

20.7

21.1

21

Clasificacin de la Informacin
Respaldo del llenado de informacin

21.2

22.1 El Aplicativo, SO y BD debern contar con Pistas de Auditora que permitan conocer al menos quin entr, a qu hora entro y qu hizo.

22.2 22.3 22.4

22 Pistas de Auditora

Bitcoras de Seguimiento y Auditora para el Aplicativo, Sistema Operativo (SO) y Base de Datos (BD)

22 Pistas de Auditora

Bitcoras de Seguimiento y Auditora para el Aplicativo, Sistema Operativo (SO) y Base de Datos (BD)

El acceso a las pistas de auditora del Aplicativo, SO y BD slo deber estar permitido para el usuario autorizado de auditora y al sper usuario. Las pistas de Auditora del Aplicativo, SO y BD debern almacenar informacin de al menos 6 meses de antigedad.

22.5

El acceso a las pistas de auditora de BD estn restringidas slo al Sper usuario o al Usuario Privilegiado del Aplicativo, SO y BD? Las pistas de auditoria reflejan informacin de hasta 6 meses de antigedad? Las pistas de auditora en lnea slo pueden ser accedidas mediante un usuario autorizado para ello? Mostrar evidencia de este tema y hacer pruebas Existe un mecanismo que deje evidencia del acceso a las pistas de auditora del aplicativo? Las pistas de auditora dejan registrada la direccin IP del equipo en donde se ejecut la accin o transaccin. Se encriptan las contraseas para evitar el conocimiento de las mismas ante un acceso indebido? Est encriptada la informacin clasificada como altamente sensible, como mnimo debe ser la relacionada con la informacin del SAT,CFDI y en general de los contribuyentes.

22.6

22.7 Las Pistas de Auditora del Aplicativo, SO y BD debern estar restringidas al acceso slo por personal autorizado.

22.8 22.9

Encripcin de contraseas

Las contraseas de acceso debern estar encriptadas para evitar su posible conocimiento por personal no autorizado.

23.1

23.2

23

Encripcin

La informacin clasificada como altamente sensible, deber Encripcin de informacin sensible en BD, Pistas de estar encriptada para evitar su posible conocimiento por Auditora, envo de informacin, pginas Web, etc. personal no autorizado. 23.3

Estn encriptados los medios removibles y los equipos porttiles que contengan informacin clasificada o reservada para evitar su acceso ante un incidente, robo, extravo o acceso no autorizado? Inspeccin de los directorios y herramientas empleadas para la administracin de llaves de encriptacin y passphrases para confirmar que nicamente personal autorizado tiene acceso a las mismas y que se tienen controles de acceso robustos para las llaves de comunicacin y certificados provistos por el SAT y por los contribuyentes.

Son resguardados los certificados, llaves de encriptacin y passphrases de manera segura mediante controles de acceso, de manera que nicamente personal autorizado tiene acceso a las mismas? Evidencia.

24.1

24

Criptografa
24.2 Se mantiene registros de los hashes de control para llaves, certificados, y otros elementos de criptografa para asegurar la integridad de los mismos.

Se mantiene un registro de los hashes de control de llaves, certificados y otros elementos de criptografa? Los hashes son verificados semanalmente y se mantiene registro de las revisiones mediante documentos o correos electrnicos, especificando Llaves o certificados evaluados, Hashes de control esperados, Hashes de control obtenidos.

24.3

Se generan tickets de incidente o documentacin formal para el seguimiento realizado a las deviaciones, especificando las actividades seguidas para la solucin.

Administracin y proteccin de Certificados Llaves de encriptacin y passphrases

La ubicacin fsica en donde se encuentre almacenada la llave privada del certificado digital que el SAT emiti al PAC, debe encontrarse segregada. No debe haber personal operativo de forma regular. Debe mantenerse un registro de los accesos. No debe ingresar personal no monitoreado a esa zona. El acceso lgico y las operaciones en el dispositivo donde se almacena la llave privada del certificado digital que el SAT emiti al PAC debe registrarse.

24.4

Inspeccin fsica de la ubicacin donde se encuentre el dispositivo que almacena la llave privada del certificado digital. Evaluar que no haya personal operando o transitando en la ubicacin. Evaluar que se tenga registro de accesos. Evaluar que se tenga un esquema de monitoreo en dicha zona.

NUEVO!
24.5 Registro o bitcora de accesos lgicos al dispositivo donde se almacena la llave privada as como de las operaciones que se realizan en dicho dispositivo.

NUEVO!

El acceso al dispositivo que contiene la llave privada del certificado emitido por el SAT debe realizarse a travs de una autenticacin de la identidad de la persona que accede a dicho dispositivo.

24.6

Pruebas de autenticacin de identidades al dispositivo que almacena la llave privada.

NUEVO!

La capacidad de ejecucin de tareas a realizar en el dispositivo que almacena la llave privada del certificado emitido por el SAT debe ser definida basada en roles. Los roles de gestin y configuracin de parmetros de seguridad deben ser asignados a personal restringido con autorizacin y responsabilidad claramente asignada.

24.7

Pruebas de segregacin de los roles de acceso al dispositivo. Matriz con roles asignados. Documentacin de asignacin de responsabilidades al personal que gestiona el dispositivo y los parmetros de seguridad y cartas de dicho personal aceptando la responsabilidad y posibles consecuencias de actuacin incorrecta.

NUEVO!
Revisin de las caractersticas tcnicas del dispositivo que almacena la lalva privada. El dispositivo debe estar recubierto con algn material opaco y debe contar con salvaguardas que impidan que sea abierto o que invaliden la informacin en caso de que sea forzado.

El dispositivo que almacena la llave privada del SAT debe contar con recubrimiento especial, sensible, que prevenga que el dispositivo sea abierto, o que al ser abierto, impida el acceso a la informacin

24.8

NUEVO!
Los parmetros crticos de seguridad debern ser ingresados/extrados ya sea a travs de puertos fsicos exclusivos para dicho propsito y separados de los dems, deben ser ingresados/extrados en una forma encriptada (ya sea a travs de dispositivos adicionales o perifricos) o ingresados/extrados directamente del dispositivo (sin dispositivos adicionales o perifricos) a travs de un procedimiento de conocimiento dividido (varios tokens o contraseas que poseen diferentes individuos) Debe registrarse formalmente el procedimiento de ingreso de la llave privada. Esto se realizar frente a un testigo independiente y se generar un acta en la cual los participantes firmarn que han atestiguado dicho ingreso y que la llave no fue copiada ni ha sido comprometida. Una vez ingresada la llave privada al dispositivo que la almacenar, sta ya no se almacenar en ningn otro dispositivo. Informes, reportes o documentacin de las evaluaciones efectuadas, pruebas y anlisis. Documentacin sobre el seguimiento y acciones a tomar para mitigar las vulnerabilidades encontradas a raz de las pruebas de vulnerabilidades y pruebas de penetracin que incluyan responsable, accin a ejecutar y fecha lmite as como la evidencia de la ejecucin de las mismas. Procedimientos definidos para la instalacin de parches para la correccin de las vulnerabilidades, incluyendo con la definicin de ventanas de tiempo para su instalacin y evidencia de pruebas en ambientes de calidad antes de migrar a produccin.

Administracin de parmetros crticos de seguridad (tal como la llave privada) en el dispositivo que almacene dicha llave.

24.9

NUEVO!

Ingreso de la llave privada del certificado emitido por el SAT

24.10

NUEVO! NUEVO!

Ubicacin de la llave privadad del certificado emitido por el SAT

24.11 25.1

25

Anlisis de configuracin, pruebas Evaluacin de la infraestructura de acuerdo a de penetracin y estndares de configuracin definidos anlisis de vulnerabilidades

La infraestructura deber ser evaluada trimestralmente para asegurar que cumple con los estndares de configuracin definidos y para para identificar vulnerabilidades. Dar seguimiento a las desviaciones identificadas.

25.2

25.3

26

Separacin de los Sistemas y Aplicativos

Prevenir que la infraestructura y aplicaciones relacionadas con la prestacin del servicio sean empleadas para otros fines, o se comparta la infraestructura, o use para propsitos ajenos al servicio.

La organizacin emplea infraestructura y aplicaciones exclusiva para soportar el servicio, con el objetivo de prevenir accesos a la misma por personal no relacionado con el servicio, o la explotacin , modificacin o extraccin de informacin de manera intencional o no intencional.

26.1

Inspeccin de la configuracin de la infraestructura y aplicaciones para confirmar que la misma no se utiliza para fines ajenos a la prestacin del servicio.

Lineamientos de configuracin base para los sistemas

Establecer lineamientos de configuracin base para los sistemas que soportan la operacin, especificando polticas de contrasea, privilegios de acceso, servicios autorizados, mecanismos de proteccin, niveles de actualizacin, etc. El aplicativo debe realizar una administracin de las sesiones, de tal manera que garantiza que las cookies de sesin cuentan con un periodo de caducidad y la sesin expira en un tiempo determinado. El aplicativo debe realizar la transferencia de informacin por protocolos seguros como https, en el cual se codifiquen la sesin con certificados digitales.

27.1

Evidencia de la configuracin de servicios activos y justificacin de cada uno de ellos.

27

Configuracin de Sistemas

Expiracin de Sesin

27.2

El aplicativo debe contar con la caracterstica de sesin expirada en un tiempo determinado. Presentar evidencia y el tiempo configurado. La transferencia de informacin se debe llevar a cabo por un mecanismo seguro de conexin como https. Presentar evidencia.

Transferencia de Informacin

27.3

27

Configuracin de Sistemas

Documentacin de Lnea base

Documentacin formal y autorizada de los Baselines para la configuracin a nivel sistema operativo, BD, comunicaciones, etc.

27.4

Documentacin de los Base Lines de SO, BD y Comunicaciones.

Bases de Datos
28.1 Indicar cul es la plataforma de BD que se est empleando y que se cuenta con la Versin actualizada. Se cuenta con diagramas Entidad-Relacin, diccionario de datos y documentacin de roles y perfiles de acceso a la base de datos. Se cuenta con la documentacin del proceso de actualizacin de parches. Se cuenta con la documentacin del proceso de control de cambios y del proceso de autorizacin de creacin de objetos, del borrado en la BD y de acceso a la informacin.

28

Plataforma

Documentacin e informacin de Plataforma de Base de Datos

Se debe documentar y explicar la plataforma de Base de datos empleada para sustentar y soportar la informacin del sistema deCFDI.

28.2 28.3

28.4

Evaluacin de Seguridad 29 Anlisis de Riesgos

Anlisis del Sistema de Gestin, sus amenazas, vulnerabilidades y Riesgos Identificacin de procesos y documentacin de los mismos. Identificacin de los Activos de Informacin y Se debern definir las amenazas, vulnerabilidades y riesgos, con el fin de poder llevar a cabo un anlisis de riesgos adecuado. Se deber identificar y clasificar adecuadamente el proceso de administracin deCFDI. Se debern tomar en cuenta los datos capturados para los Activos de Informacin. Empleando la informacin vaciada en el formato de Clasificacin de la Informacin, se deber llevar a cabo el anlisis de riesgos y de esta forma conocer la ausencia o carencia de controles de seguridad. 29.1 Est definido y documentado el catlogo de amenazas vulnerabilidades y riesgos? Evidencia de la clasificacin. El Proceso deCFDI est adecuadamente documentado? Evidencia de la documentacin del proceso. Los datos capturados son los adecuados para llevar a cabo el anlisis de riesgos. Evidencia y ejemplo de los datos. Se cuenta con una metodologa para llevar a cabo el anlisis de riesgos? Mostrar metodologa y evidencia de cmo se sigue. Los controles documentados y evaluados estn claramente definidos y evaluados? Mostrar evidencia de los controles inventariados. La documentacin resultante del anlisis de riesgos arroja resultados claros y concluyentes? Mostrar documentacin de resultados. Existe un Plan de Trabajo para mitigar riesgos a travs de los resultados del anlisis de Riesgos y los controles detectados? Mostrar Plan de Mitigacin de Riesgos. Existe la matriz que indique especficamente qu controles implementar en cada Sistema de Gestin? Mostrar matriz.

30 31

Procesos

30.1

31.1

Activos de Informacin documentacin de los mismos. Controles Actuales

Identificacin de Controles Actuales y su grado de implementacin.

32

32.1

33

Revisin de Controles

Revisin de informacin y evaluacin del nivel de Control implementado

34

Entrega de Resultados

Se deber llevar a cabo una revisin de los controles existentes y evaluar el nivel de implementacin. La entrega de resultados del Anlisis de Riesgos deber estar Entrega de Documento de resultados del Anlisis de acompaada de la documentacin que indique claramente los riesgos detectados, la ausencia de controles y el mapa de Riesgos riesgos. Se debern identificar los controles aplicables, de tal forma que se lleve a cabo un Plan de Trabajo para la implementacin y mitigacin de riesgos de seguridad. Se deber generar una matriz de controles por dominio, el cual permita identificar en que parte estos debern ser implementados, en qu parte no aplican y/o no es necesario invertir esfuerzo en su implementacin. El PAC deber garantizar que se llevan a cabo auditoras semestrales para todos los controles, las auditoras debern ser realizadas por un equipo independiente de la operacin.

33.1

34.1

35

Identificacin de Controles Aplicables SOA

Controles aplicables al sistema de gestin

35.1

36

Plan de implementacin de controles

36.1

Auditoras peridicas para evaluar mejoras en la seguridad

37.1

Existe registro de las evaluaciones semestrales para el mejoramiento de la seguridad a travs de la implementacin o mejoramiento de controles? Mostrar documentacin que lo certifique. Existe personal capacitado para llevar a cabo las auditoras de seguimiento? Mostrar evidencia de certificacin o experiencia del personal. Las certificaciones pueden ser: CISA, CISSP, CRISK, Lead Auditor ISO27001:2005.

37

Auditoras Internas
Auditoras efectivas, mediante personal autorizado El PAC deber asegurar que el personal dedicado a las y seguimiento auditoras tiene las capacidades necesarias para evaluar de manera efectiva los controles. Seguimiento hasta su cierre. 37.2

RESGUARDO DE INFORMACIN Respaldos

Se debern llevar a cabo respaldos de Sistema Operativo, Base de Datos y del Aplicativo. 38.1 Se llevan a cabo respaldos peridicos de SO, BD y del Aplicativo y sus pistas de auditora respectivas? Bitcoras de respaldos y pistas de Auditoria. Los dispositivos de respaldo deben contar con el adecuado etiquetado y con los datos necesarios para su pronta localizacin. Al menos debern indicar tipo de respaldo, nombre del respaldo, fecha y hora del respaldo. Debe existir una clasificacin y orden adecuado para el acceso fcil a los dispositivos de respaldo clasificndolo al menos por fecha y hora de respaldo.

Los dispositivos de respaldo debern estar perfectamente identificados para su fcil localizacin.

38.2

38

Tipos de Respaldo

Documentacin de tipos de respaldo a ejecutar Los dispositivos de respaldo deben estar adecuadamente ordenados y clasificados para su gil utilizacin. 38.3

38

Tipos de Respaldo

Documentacin de tipos de respaldo a ejecutar

Proteccin de Medios.

38.4

Deben encriptarse los medios y dispositivos de almacenamiento, empleando algoritmos definidos por el SAT o mejores (AES con llaves de 256 bits o superior). Los respaldos debern realizarse diariamente como mnimo. Evidencia en bitcora, documento o similar y demostracin. La periodicidad de respaldo como mnimo de una semana garantiza el restablecimiento adecuado de la operacin? Indicar en caso contrario cada cundo se llevan a cabo. Contar con la evidencia de los resultados de las pruebas de restauracin donde se indique que este fue exitoso Las pistas de auditora de SO, BD y Aplicativo son respaldadas mnimo cada semana? Mostrar evidencia en bitcora y visual. Los respaldos de pistas de auditora de SO, BD y Aplicativo deben ser resguardados en lugar seguro. Evidencia. El acceso a los respaldos de pistas de auditora de SO, BD y Aplicativo, se lleva a cabo slo por personal autorizado? Mostrar evidencia en bitcora. Verificar Bitcoras de acceso a los dispositivos de respaldo de pistas de auditora del Aplicativo, SO y BD.

Ejecucin de Respaldos

Los respaldos debern llevarse a cabo con un perodo mnimo.

39.1

39

Periodicidad

Se deber garantizar que la periodicidad de los respaldos, cubran la necesidad de restablecimiento en caso de contingencia. Garantizar restauracin

39.2

40.1 Se debe llevar a cabo respaldos adecuados de las pistas de auditora que permitan dar un seguimiento puntual y exacto a actividades realizadas por Sper Usuarios, usuarios Privilegiados y en general usuarios de Sistema Operativo(SO), Base de Datos(BD) y Aplicativo

40

Respaldo de Pistas de Auditoria

Las pistas de Auditora debern ser respaldadas peridicamente y almacenadas en lugar seguro para su posible revisin.

40.2

40.3

40.4

Se debern respaldar los dispositivos de respaldo, en un lugar seguro y libre de humedad.

41.1

41.2

41

Resguardo

Ubicacin fsica de los dispositivos de respaldo

El control de acceso a los dispositivos de respaldo, deber llevarse a cabo por medio de una bitcora que indique al menos qu dispositivo se utilizar, quin solicita el acceso, motivo, fecha y hora de solicitud y fecha y hora de regreso del dispositivo.

41.3

El resguardo de dispositivos de respaldo es en un lugar seguro y de medio ambiente adecuado? Revisar y mostrar. El acceso a los respaldos de pistas de auditora de SO, BD, Aplicativo se lleva a cabo por personal autorizado? Mostrar evidencia de qu personas estn autorizadas y la evidencia de sus accesos. Se guarda una bitcora de acceso a los dispositivos de respaldo de pistas de auditora de SO, BD y Aplicativo? Mostrar. La bitcora de acceso a dispositivos de respaldo indicar al menos qu dispositivo se utilizar, quin solicita el acceso, motivo, fecha y hora de solicitud y fecha y hora de regreso del dispositivo? Mostrar. Se guarda una copia del respaldo de pistas de auditora de SO, BD y Aplicativo, en un lugar distinto al principal? Mostrar evidencia visual y/o en bitcora, documentacin, otros. Se muestra procedimiento para la eliminacin de dispositivos de respaldo y la constancia de qu dispositivos se destruyen, la fecha, hora, motivo y responsable de la eliminacin?

41.4

42

Copias

Resguardo de respaldos adicionales (copias)

Se deber guardar una copia en un inmueble externo al principal en donde se lleven a cabo los respaldos. Deber existir un procedimiento para eliminacin de dispositivos de respaldo, ya sea por dao, por haber cubierto su vida til o por obsolescencia.

42.1

42.2

OTROS

43

Administracin de Cambios. Se han definido procedimientos de administracin de cambios para las aplicaciones, infraestructura y dispositivos relacionados con el servicio. Los procedimientos definen lineamientos sobre: - Registro del total de solicitudes de cambios, especificando informacin sobre: tipo de cambio, detalle de los sistemas o activos afectados, objetivo del cambio, fecha estimada de implementacin, pruebas para verificar la efectividad del cambio, impacto probable de la implementacin del cambio, plan de retorno en caso de falla. - Evaluacin del cambio, para determinar el nivel de impacto sobre la infraestructura y operaciones. - Evaluacin del cambio para su categorizacin como cambio emergente, en caso que no pueda seguir el proceso normal de cambios debido a la urgencia e impacto de no implementarlo. - Definicin y ejecucin de planes de prueba para verificar la efectividad del cambio. - Descripcin de las actividades para revertir el cambio, en caso que el cambio sea fallido.

Se debern implementar procesos de control de cambios para toda la infraestructura, aplicaciones y dispositivos relacionados Se han implementado procedimientos para la administrar de cambios que definan las actividades y lineamientos necesarios para: - Registrar el total de las solicitudes de cambio, especificando informacin sobre: Detalle del cambio, sistemas afectados, objetivo, impactos, fechas estimadas de implementacin. - Aprobacin de los cambios dependiendo del alcance de los mismos, de los activos afectados, urgencia y nivel de impacto. - Evaluacin de los cambios para determinar el nivel de impacto. - Categorizacin de los cambios como cambio emergente. - Definicin y ejecucin de planes de prueba. - Seguimiento a desviaciones en los planes de prueba. - Descripcin de planes de retorno de los cambios.

43.1

Inspeccin documental y entrevistas para determinar si se ha implementado un procedimiento formal de cambios para todos los activos relacionados con el servicio, que cumpla con los requerimientos de: - Documentacin mnima. - Aprobacin. - Evaluacin del nivel de impacto. - Categorizacin. - Definicin de planes de prueba y seguimiento a desviaciones. - Definicin de planes de retorno. Inspeccin de una muestra de cambios para asegurar que los mismos se han implementado siguiendo los puntos de control definidos en el procedimiento.

Administracin de Cambios
Inspeccin documental y entrevistas para determinar cuales son los procesos que se siguen para determinar los recursos tecnolgicos requeridos para implementar la solucin tecnolgica, considerando capacidad de las aplicaciones, infraestructura, telecomunicaciones, entre otros elementos. El anlisis deber tener en consideracin los requerimientos iniciales, as como los requerimientos esperados en el corto y mediano plazo.

Capacidad Tecnolgica. Se han definido procedimientos para la administracin de la capacidad tecnolgica para asegurar que se mantiene la capacidad y nivel de eficiencia de los sistemas en rangos aceptables, con base en mejores Al menos anualmente se realiza un anlisis de indicadores prcticas de la industria. clave de desempeo y de tendencias de uso de los recursos tecnolgicos. Los resultados se evalan en conjunto con las expectativas de crecimiento y de demanda en el corto y mediano plazo.

Se realiza una evaluacin inicial de los requerimientos tecnolgicos requeridos previo a la implementacin de la solucin. La evaluacin considera requerimientos de procesamiento, comunicaciones, almacenamiento, niveles de servicio requeridos, picos de actividad y planes de crecimiento en el corto y mediano plazo.

44.1

44.2

Inspeccin documental y entrevistas para conocer el procedimiento seguido para analizar las tendencias de uso de los recursos, definicin de indicadores clave de desempeo, as como las actividades para analizar estas tendencias contra los objetivos de crecimiento en el corto y mediano plazo. Inspeccin documental de los planes de accin para atender las desviaciones o excedentes en los requerimientos de recursos tecnolgicos. Inspeccin documental y entrevistas para determinar cuales son los procesos que se siguen para determinar los recursos operativos requeridos para implementar la solucin tecnolgica, considerando los servicios prestados a las reas usuarias, personal requerido para el soporte a las operaciones, y administracin de la plataforma tecnolgica, capacidades tcnicas, y conocimientos requeridos, entre otros factores.

44

Capacidades

Se definen planes de accin para atender desviaciones, o para cumplir con las expectativas futuras de crecimiento.

44.3

Capacidad Operativa. Se han definido procedimientos para administrar la capacidad operativa para asegurar que se mantiene un nivel adecuado de operacin y de atencin a requerimientos, con base en los SLA's acordados, Al menos anualmente se realiza un anlisis de indicadores requerimientos regulatorios y retroalimentacin de clave de desempeo y de tendencias de uso de los recursos las partes interesadas operativos. Los resultados se evalan en conjunto con las expectativas de crecimiento y de demanda en el corto y mediano plazo.

Se realiza una evaluacin inicial de los requerimientos operativos para la implementacin de la solucin y prestacin de los servicios. La evaluacin considera los servicios prestados a las reas usuarias, personal requerido para el soporte a las operaciones, y administracin de la plataforma tecnolgica, capacidades tcnicas, y conocimientos requeridos, entre otros factores.

44.4

44.5

Inspeccin documental y entrevistas para conocer el procedimiento seguido para analizar las tendencias de uso de los recursos, definicin de indicadores clave de desempeo, as como las actividades para analizar estas tendencias contra los objetivos de crecimiento en el corto y mediano plazo. Inspeccin documental de los planes de accin para atender las desviaciones o excedentes en los requerimientos de recursos operativos.

Planes de accin para atender desviaciones y cumplir con las expectativas de crecimiento.

44.6

Incidencias y Problemas

Manejo de Incidente. Se han implementado procedimientos para el registro y solucin de incidentes, considerando como incidente a cualquier actividad fuera de las operaciones normales. Todos los incidentes son registrados y canalizados a travs de un punto nico para garantizar su tratamiento con base en los lineamientos definidos. Los procedimientos de manejo de incidentes requieren que para cada incidente se registre la siguiente informacin: - Fecha/hora de reporte del incidente. - Descripcin del incidente. - Nivel de impacto del incidente. - Nivel de urgencia del incidente. - Tipo de incidente (redes, infraestructura, aplicativo, de seguridad, entre otros). - Estado del incidente (abierto, en solucin, solucionado, cerrado). - Descripcin de la solucin. Se han definido procedimientos para el escalamiento de los incidentes de acuerdo con el tipo de incidente, impacto y tiempo transcurrido desde su registro. El proceso de escalamiento se ha definido en una tabla y es aplicable a todos los incidentes.

El procedimiento de notificacin de incidentes es conocido y seguido por las reas usuarias, reas administrativas y reas de tecnologa, todos los incidentes son registrados a travs de un punto nico.

45.1

Inspeccin documental para confirmar que se ha definido un procedimiento formal de administracin de incidentes que define la informacin requerida para el registro y seguimiento de incidentes hasta su solucin. Entrevistas con personal clave de reas usuarias, reas administrativas y reas de tecnologa para confirmar que se Inspeccin de una muestra de incidentes para asegurar que cuentan con la informacin requerida y han sido categorizados y seguidos de manera adecuada. Inspeccin de la tabla de escalamiento para confirmar que la misma define la siguiente informacin: - Tipo de incidente. - Magnitud. - Impacto. - Umbrales de tiempo. - Personal a notificar en cada umbral. Inspeccin de una muestra de incidentes para confirmar que se han seguido las actividades definidas en la tabla de escalamiento.

Registro y seguimiento a incidentes, incluyendo incidentes reportados por usuarios, personal de sistemas, entre otros.

45.2

Se han definido actividades y mecanismos para el escalamiento de incidentes con base en el tipo de incidente, impacto y tiempo transcurrido desde su registro, entre otros conceptos.

45.3

45

Incidencias

Cierre de incidentes. Los procedimientos definidos garantizan que los incidentes son cerrados una vez que han sido solucionados. No se tienen registros de incidente cerrados sin haber sido solucionados.

45.4

Inspeccin de una muestra de incidentes para asegurar que han sido cerrados, y que su cierre se ha realizado posterior a la solucin.

Manejo de Incidentes de Seguridad. Se han implementado procedimientos para la identificacin y seguimiento de incidentes de seguridad.

Registro y seguimiento a incidentes de seguridad. Se han implementado mecanismos y se cuenta con la experiencia requerida y mecanismos para identificar incidentes de seguridad. Se considera como incidente de seguridad a cualquier evento intencional o no intencional que pone en riesgo la confidencialidad, integridad o disponibilidad de los activos del servicio. 45.5 Los incidentes de seguridad debern ser acompaados por un anlisis exhaustivo por expertos para determinar el nivel de impacto y exposicin generado como parte del incidente. Los incidentes de seguridad debern ser notificados en todos los casos al SAT de manera inmediata, an cuando no se hubiera concretado o no hubiera impacto.

Inspeccin documental y entrevistas con el personal para determinar si se cuenta con mecanismos de monitoreo y experiencia en el personal para: - Identificacin de incidentes de seguridad. - Categorizacin como incidente de seguridad. - Investigacin del incidente por personal experto. - Notificacin al SAT en el momento del incidente. - Registro y seguimiento a travs de los procedimientos de manejo de incidentes. Inspeccin de una muestra de incidentes para confirmar si se realiz un anlisis adecuado para determinar si se trataba de incidentes de seguridad. Inspeccin de una muestra de incidentes de seguridad para determinar si: - Se realiz un anlisis exhaustivo por personal experto para determinar el impacto y nivel de exposicin del incidente. - Se comunic de manera inmediata al SAT. - Se tomaron las acciones necesarias para revertir los efectos del incidente de seguridad.

46

Problemas

Manejo de Problemas. Se han implementado procedimientos para el manejo de problemas, considerando a los problemas como cualquier incidente recurrente, de seguridad o con un impacto mayor a las operaciones o activos relacionados con el servicio. Los problemas son seguidos para determinar: - Causas raz del problema. - Factores que propiciaron la ocurrencia del problema. - Factores que pueden implementarse para prevenir la ocurrencia del problema, o para mitigar el impacto del mismo.

Se ha definido un procedimiento que regula la administracin de problemas, incluyendo los siguientes puntos: - Criterios para considerar un problema. - Actividades para la determinacin de las causas raz. - Actividades para determinar los factores que propiciaron la ocurrencia del problema. - Actividades requeridas para prevenir la recurrencia del problema. - Actividades requeridas para minimizar el impacto en caso de ocurrencia. - Definicin de planes de accin. - Seguimiento hasta el cierre de los planes de accin. - Cierre del problema.

46.1

Inspeccin documental y entrevistas con los responsables para determinar si se ha implementado un procedimiento para el manejo de problemas que considere los lineamientos para la identificacin, determinacin de causas raz, factores relacionados, acciones de mitigacin, definicin de planes de accin y seguimiento de los mismos hasta su cierre.

La documentacin relacionada con problemas por incidentes de seguridad deber ser analizada por el SAT para obtener la aprobacin de los planes de accin y de las actividades de seguimiento a los mismos.

46.2

Inspeccin documental y entrevistas con los responsables para determinar si los problemas relacionados con incidentes de seguridad son comunicados al SAT previo a la aprobacin final de los planes de accin y seguimiento de los mismos.

47

Manejo de Licencias

Uso y auditora de licencias. Se deber permitir la auditora por parte del proveedor, del SAT o cualquiera que este defina para verificar el adecuado manejo de las licencias provistas por el SAT, para los fines que este convenga.

El PAC deber garantizar que las licencias de software provistas por el SAT son utilizadas para los fines acordados, y deber permitir la auditora por parte del SAT, el proveedor, o cualquiera que estos definan para verificar el uso autorizado de las mismas.

47.1

Inspeccin documental y/o entrevistas para determinar si las licencias provistas estn siendo empleadas para los fines acordados.

ELIMINADO!

Controles en la aplicacin

Se debern identificar, entender y verificar el cumplimiento con las polticas y regulaciones de seguridad aplicables. - El PAC deber implementar los controles y mecanismos requeridos para proteger y hacer buen uso de la informacin personal a la que tuviera acceso, as como asegurar el apego con la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, y con otras legislaciones aplicables. - El PAC deber especificar mediante un documento firmado por su representante legal que: - Conoce la "Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares" , as como las legislaciones aplicables en materia de proteccin de datos. - Reconoce su responsabilidad para verificar el cumplimiento con las leyes de proteccin de datos. - Reconoce que ser sujeto de sanciones por el incumplimiento de las leyes, con base en los lineamientos definidos en las mismas. - Exime de cualquier responsabilidad al SAT, derivado del acceso a la informacin relacionada con el servicio que prestar, incluyendo los servicios gratuitos y con costo.

48.1

Inspeccin documental, entrevistas y revisin de archivos de configuracin para asegurar que se han cumplido los criterios de revisin. Inspeccin de los acuerdos para asegurar que el PAC ha entendido y ha asumido la responsabilidad sobre el cumplimiento con los lineamientos y definiciones definidos en las legislaciones aplicables.

Se debern identificar y eliminar el uso de componentes compartidos. - El PAC deber asegurar que toda la infraestructura y sistemas relacionados con el servicio son de uso exclusivo, no son utilizados para otros fines, y estn separados fsica y lgicamente .

48.2

Inspeccin documental, entrevistas y revisin de archivos de configuracin para asegurar que los componentes de la solucin son de uso exclusivo para este fin.

Se deber especificar un documento denominado "Flujo de Datos de la Solucin", en el que se especifique el flujo de datos e informacin de los componentes internos y externos. El flujo de datos deber evitar que los datos e informacin Arquitectura de Seguridad. La solucin implementada por el PAC deber cubrir sean intercambiados con componentes no administrados por el PAC bajo los lineamientos de seguridad necesarios los siguientes controles, independientemente del para proteger la informacin. Para definir el documento tipo de solucin o arquitectura implementada. "Flujo de Datos de la Solucin" se debern realizar las siguientes actividades. - Se debern identificar todos los componentes relacionados con el servicio, incluyendo aplicaciones, e infraestructura empleada para el almacenamiento, procesamiento, transmisin y recepcin de datos. Se deber definir un diagrama del flujo de informacin que deber mostrar todos los componentes relacionados con el servicio, incluyendo aplicaciones, servidores, bases de datos, dispositivos de almacenamiento, impresoras, reporteadores, entre otros. Adicionalmente se debern especificar a detalle los siguientes datos para cada componente: - Marca/Modelo del componente. - Tipo de componente. - Informacin sobre el componente, versionamiento y otra informacin. - Propsito del componente. - Componentes con los que intercambia informacin.

Inspeccin documental, entrevistas y revisin de archivos de configuracin para asegurar que el documento "Flujo de Datos de la Solucin" es completo y veraz. 48.3 Verificar que el flujo de datos de la solucin no interacta con componentes que no son administrados bajo los lineamientos de seguridad.

Se deber especificar un documento denominado "Interconexiones de la Solucin" en el que se identifiquen las interconexiones en el ambiente de aplicaciones. No se deber tener conexiones con sistemas externos al PAC, o con sistemas que no sean administrados bajo los lineamientos de seguridad requeridos para proteger la informacin. El documento deber especificar: - Todas las conexiones con la intranet, internet, conexiones con socios de negocio, entre otros puntos, as como los controles de acceso.

48.4

Inspeccin documental, entrevistas y revisin de archivos de configuracin para asegurar que el documento "Interconexiones de la Solucin" es completo, actualizado y veraz. Verificar que el flujo de datos de la solucin no interacta con componentes externos o que no son administrados bajo los lineamientos de seguridad.

48

Seguridad en la aplicacin
Encriptacin. La solucin implementada deber cubrir los siguientes controles sobre encriptacin, independientemente del tipo de solucin o arquitectura implementada.

Definicin de controles de acceso, autenticacin y autorizacin, . - Se deber identificar en un diagrama las direcciones IP y puertos requeridos por cada componente para el adecuado funcionamiento, la infraestructura de red y sistemas debern configurarse para permitir el acceso a travs de las direcciones y puertos especificados.

48.5

Inspeccin documental, entrevistas y revisin de archivos de configuracin para asegurar que se han definido las direcciones IP y puertos requeridos para el adecuado funcionamiento de la aplicacin. Verificar los mecanismos de control de accesos para asegurar que los mismos se han configurado con base en los requerimientos de acceso. Inspeccin documental, entrevistas y revisin de archivos de configuracin para asegurar que las conexiones con la infraestructura se realizan a travs de medios segur0s tales como SSL/TLS. Verificar que el trfico no encriptado no contiene informacin sensible. Inspeccin documental, entrevistas y revisin de archivos de configuracin para asegurar que se han definido niveles de acceso a los recursos, y que los niveles de acceso son otorgados al personal, con base en los requerimientos de acceso. Inspeccin de los niveles de acceso otorgados para asegurar que los mismos se otorgan nicamente al personal con base en el mnimo privilegio requerido.

Se debern establecer mecanismos de encriptacin tales como SSL/TLS para las conexiones. Se deber asegurar que el trafico no encriptado no contiene informacin sensible, por ejemplo pginas con reas http y https.

48.6

Control de acceso. La solucin implementada deber cumplir con los siguientes controles sobre controles de acceso, independientemente del tipo de solucin o arquitectura implementada.

Definicin de controles de acceso a los recursos, y funciones de la solucin. Se debern tener niveles de acceso en la solucin implementada, los accesos se restringirn al mnimo nivel requerido para el adecuado funcionamiento de la solucin, y debern considerar las funciones operativas y administrativas.

48.7

Las entradas de datos por usuarios y otras aplicaciones debern ser validadas para confirmar que no contienen sentencias o valores no permitidos. Las validaciones debern ser realizadas a travs de controles del lado del servidor, y no a travs de validaciones a nivel cliente tales como java script. Se debern implementar los siguientes tipos de validaciones: - Verificaciones de Integridad. Para validar que los datos no han sido modificados al viajar desde el servidor al navegador de los usuarios y de regreso, o que los montos de la transaccin origen generada por el usuario se conservan hasta su registro final en el servidor, as como en cualquier transaccin en que la informacin viaje a otros sistemas. - Validacin. Para asegurar que los datos tienen la sintaxis correcta, con los caracteres esperados y con la longitud definida. Se debern implementar controles de validacin en la capa web o de presentacin y se deber verificar que no existan scripts o secuencias no permitidas. - Reglas de negocio. Para asegurar que los datos de entrada tienen sentido.

Validacin de entradas. La solucin implementada deber cumplir con los siguientes controles sobre validacin de entradas de datos, independientemente del tipo de solucin o arquitectura implementada.

48.8

Inspeccin documental, entrevistas, revisin de archivos de configuracin y pruebas de entrada de datos para asegurar que se han implementado mecanismos para validar los datos de entrada, previniendo el uso no adecuado de datos de entrada, prdida de integridad en la transportacin de datos, y uso de datos no reales.

Codificacin de salidas. La solucin implementada deber cumplir con los siguientes controles de codificacin de salidas, independientemente del tipo de solucin o arquitectura implementada.

Codificacin de salidas. Las salidas de informacin debern ser codificadas en un formato correcto, para prevenir que puedan ser interpretadas como directivas o instrucciones en el contexto de la salida. Debern considerarse caracteres especiales, tales como ",',\n,\x0, u otros.

48.9

Inspeccin documental, entrevistas y revisin de archivos de salida para asegurar que se han implementado mecanismos para la adecuada codificacin de los datos de salida, para prevenir la inadecuada interpretacin o ejecucin de instrucciones.

Criptografa. La solucin implementada deber cumplir con los siguientes controles de criptografa, independientemente del tipo de solucin o arquitectura implementada. Los mecanismos de criptografa debern estar alineados a mejores estndares de seguridad y debern prevenir el descifrado de llaves.

Criptografa. Se debern implementar mecanismos de criptografa para soportar las siguientes funcionalidades: - Autenticacin de los clientes y PAC. - No repudiacin de las transacciones.

48.10

Inspeccin documental, entrevistas, revisin de archivos de configuracin y pruebas de acceso a la aplicacin para asegurar que se han implementado mecanismos de criptografa para asegurar: - La autenticacin de los clientes y del PAC. - La autenticacin del PAC con el SAT. - No repudio de transacciones.

Manejo de logs, errores y registro. La solucin deber contar con mecanismos para el manejo de errores y excepciones, asegurando que: - Los mensajes de error mostrados por la aplicacin no debern proveer informacin sensitiva. - Las excepciones no proveen informacin sensitiva a los usuarios de la aplicacin.

48.11

Inspeccin documental, entrevistas, revisin de archivos de configuracin y pruebas de uso de la aplicacin para asegurar que se han implementado mecanismos para el adecuado manejo de excepciones y errores, as como la divulgacin de informacin sensible a travs de los mensajes de error.

Manejo de logs, errores y registro. La solucin implementada deber cumplir con los Se debern registrar al menos los siguientes eventos: siguientes controles sobre manejo de errores, - Acceso directo a datos. Especificando quin accedi, qu excepciones, logs, bitcoras y registro de eventos, datos accedi y el timestamp. independientemente de la solucin implementada.. - Escritura o modificacin de datos. Especificando quin realiz la accin, que hizo (agregar o modificar datos), qu datos accedi, y el timestamp. - Escritura o modificacin de archivos de configuracin. - Actividades administrativas como modificacin de parmetros, creacin de usuarios, entre otros. - Intentos de acceso (exitosos o fallidos) a recursos o funciones.

48.12

Inspeccin documental, entrevistas, revisin de archivos de configuracin y de trazas de auditora para asegurar que las mismas se han configurado para registrar informacin sobre eventos relevantes.

VALIDACIN TECNOLGICA
Verificar la correcta definicin de namespaces, haciendo la referencia a la ruta publicada por el SAT en donde se encuentra el esquema de XSD. (Referencia Anexo 20)

Declaracin de namespaces

Declaracin de namespaces

A.1

Revisin de la correcta declaracin de los namespaces del CFDI conforme al Anexo 20 en cada uno de los rubros aplicables

Declaracin de Addenda y sus namespaces Validacin de Datos requeridos

Declaracin de Addenda y namespaces

Si se requiere utilizar esta funcionalidad, se deber definir el nuevo namespace dentro del nodo Comprobante y publicar la ruta del esquema XSD para la validacin Validacin de los campos obligatorios del CFDI que cumplan con el esquema de datos Utilizacin de caracteres especiales y secuencias de escape Generar un CFDI que contenga caracteres especiales y secuencias de escape

B.1

Revisin y validacin de la integracin del Timbre Fiscal Digital y la addenda cuando esta aplique, con sus namespaces conforme al Anexo 20 Validacin sintctica correcta del esquema de datos establecido. Se deber representar correctamente dichos caracteres codificados en UTF-8 en la factura y en la generacin de la cadena original, as como en la representacin impresa del CFDI. Se debern remplazar todos los tabuladores, retornos de carro y saltos de lnea por un espacios en blanco (toda secuencia de caracteres en blanco intermedias se sustituyen por un nico carcter en blanco) Anexo 20.

Validacin de Datos requeridos

C.1

Utilizacin de Utilizacin de caracteres especiales y caracteres especiales y secuencias de escape secuencias de escape

D.1

Caracteres en blanco, Caracteres en blanco, tabuladores o tabuladores o retornos retornos de carro de carro

Generar un CFDI con 2 o ms caracteres en blanco, tabuladores y retornos de carro

E.1

Sellado conforme a la cadena original para el CFDI y para el Timbre Fiscal Digital

Verificacin del correcto sellado conforme a la cadena original para el CFDI y para el Validacin criptogrfica de los sellos Timbre Fiscal Digital

F.1

El correcto sellado conforme a la cadena original (En este proceso se realizan las dos validaciones criptogrficas, aplicables al CFDI y al Timbre del PAC) 1. Que cumpla la estructura XML (XSD y complementos aplicables) 2. Que cumpla con el estndar de XML (Conforme al W3C) 3. Que el CSD del Emisor corresponda al RFC que viene como Emisor en el Comprobante 4. Que el CSD del Emisor haya sido firmado por uno de los Certificados de Autoridad de SAT 5. que la llave utilizada para sellar corresponda a un CSD (no de FIEL) 6. que el CSD del Emisor no haya sido revocado, utilizando la lista de CSD 7. que el sello del Emisor sea vlido 8. Que la fecha de emisin est dentro de la vigencia del CSD del Emisor 9. Que exista el RFC del emisor conforme al rgimen autorizado (Lista de validacin de rgimen) 10. que el rango de la fecha de generacin no sea mayor a 72 horas para la emisin del timbre 11. que la fecha de emisin sea posterior al 01 de Enero 2011 12. que no contenga un timbre previo 13. que el PAC no haya timbrado previamente dicho Comprobante La previa validacin de la vigencia de los certificados usados en el sellado delCFDI Validar que el cliente gratuito cumple con los requisitos tcnicos emitidos por el SAT: Verificar que el cliente gratuito tenga las funcionalidades de autenticacin de usuarios, administracin de comprobantes emitidos, creacin de representacin impresa. Verificar que el cliente gratuito es multiplataforma y tecnolgicamente neutral. Revisin de manuales de usuario, de atencin a usuarios y manual de pruebas para el SAT Verificar que el servicio ofrecido desde el cliente gratuito y que al prestar la certificacin (timbrado) a terceros, se cumpla con la entrega del CFDI al SAT y el envo del Timbre Fiscal Digital al cliente que lo genere Realizar una conexin remota exitosa al aplicativo del Proveedor y realizar pruebas conforme a los manuales de usuario y usuario para el SAT entregados . (generacin deCFDI, administracin de CFDI, impresin, etc.) El manual de usuario debe contener un ndice y los puntos que describan los pasos a manera de gua para hacer uso del servicio y sus funcionalidades

Verificacin de la validacin de cada comprobante

Verificacin de la validacin de cada Cumplir con todas las validaciones necesarias para comprobante para la emisin de un timbre la emisin de un timbre

G.1

NUEVO!

Cliente Gratuito

Cumplimiento del cliente gratuito con los estndares CFDI emitidos por el SAT. (Anexo 20 y Matriz de Controles)

Cumplimiento con requisitos tcnicos y funcionales, que el cliente sea fcil de usar y cuente con una interface amigable. Revisin documental de manuales

H.1

NUEVO!

Validacin de flujos

Validacin de la creacin de un CFDI desde Cumplimiento del paso por cada componente que el contribuyente hasta su almacenamiento integre el servicio de punta a punta. Otorgar al en el SAT SAT usuarios para realizar pruebas

I.1

Conexin Remota

Verificacin de la aplicacin por medio de La conexin Remota debe permitir el acceso una conexin remota desde la Red del SAT

J.1

K.1

Manuales de Usuario

Los manuales deben integrar instrucciones claras Entrega de Manuales de Usuario para una para usuario, de atencin a usuario y de atencin mejor Administracin a usuario del SAT

Manuales de Usuario

Los manuales deben integrar instrucciones claras Entrega de Manuales de Usuario para una para usuario, de atencin a usuario y de atencin mejor Administracin a usuario del SAT

K.2

El manual de atencin a usuario debe contener un ndice y los puntos donde se informe al usuario las formas de contacto y resolucin de problemas con el servicio y sus funcionalidades El manual de usuario SAT debe contener un ndice y los puntos que describan los pasos para que el SAT realice las pruebas remotas o en sitio Mostrar el Documento de Acuerdo de Niveles de Servicio (SLA). En particular para la Aplicacin Gratuita se debe cumplir con lo publicado en la pgina de internet respecto a la funcionalidad y servicios respectivos Mostrar el Documento de Convenio de Confidencialidad, mediante el cual el Proveedor Autorizado se compromete a hacer buen uso de la informacin del Contribuyente.

K.3

L.1 L Confidencialidad y Niveles de Servicio Documentos de Control en los cuales se establezca y especifique, los acuerdos de Servicio y Confidencialidad Se debern mostrar los documentos de Acuerdos de Niveles de Servicio (SLA) y de Convenio de Confidencialidad, entre el Proveedor Autorizado y el Contribuyente L.2

El aspirante debe documentar todo el personal que interviene en el proceso de CFDI y notificar al SAT cuando existan cambios.

Nombre y Firma del Representante Legal