Ejemplo de Una Matriz de Control

8/18/2019 Ejemplo de Una Matriz de Control

1/16

x

Control Descripción Criterio de Revisión ID Revisión Observaciones Tipo de ControlSec

INFRAESTRUCTURA TECNOLÓGICACentro de Cómputo

1.1 ¿El Centro de cómputo está ubicado en un lugar seguro?

1.2¿Hay una distancia mínima de infraestructura de alto riesgode por lo menos 100 mts?

El Centro de Cómputo debe estar asentado en lugares libresde alto riesgo como minas, acometidas de cableado de luz ygas, etc.

1.3¿El Centro de cómputo se encuentra asentado en lugarseguro? ¿es visible a simple vista o está en una instalación noevidente?

2.1 ¿La protección perimetral impide el acceso desde el exterior?

2.2 Si es una barda, ¿la barda tiene mínimo 3 metros de altura?

2.3 ¿Cuenta con malla de picos, eléctrica, otra?

2.4¿El Centro de Cómputo cuenta con paredes de concreto?

2.5 ¿Cuenta con puerta blindada?

2.6 ¿Acceso Electrónico? ¿Qué tipo?

2.7¿El piso falso es modular sin permitir espacio entre losmódulos?

El Centro de Cómputo debe contar con sistema contraincendios (Gas FM200), detectores de humo.

3.1 ¿Seguridad contra incendios mínimo FM200?

El Centro de Cómputo debe contar con cableadoestructurado que cubra la necesidad de continuidad en elservicio de Telecomunicaciones.

3.2 Instalación de cableado estructurado por personal certificado.

Para el centro de cómputo se debe contemplar seguridad deinterconectividad.

3.3Los equipos de comunicaciones deben estar interconectadospor fibra óptica o UTP categoría 6 gigabit.

El Centro de Cómputo debe contar con un adecuado sistemade aire acondicionado para evitar problemas desobrecalentamiento en el equipo.

3.4¿Cuenta con aire acondicionado que enfríe los equipos decómputo y comunicaciones?

Restricción de acceso de medios de almacenamiento apersonal externo e interno que acceda al Centro deCómputo.

3.5Contar con un procedimiento de revisión para restringir oautorizar el acceso de medios de almacenamiento (discosduros portátiles, USB, celulares, Blackberry).

Revisiones periódicas por parte de la Unidad Verificadora deInstalaciones Eléctricas u otro órgano de revisión y validarque el sistema de tierra de seguridad mantiene valoresmenores a 2 ohms.

3.6 Revisión semestral de las instalaciones eléctricas

El sistema eléctrico debe ser monitoreado en línea por unsistema automatizado integrado al sistema de monitoreogeneral del Centro de Datos.

3.7Evidencia del monitoreo en línea al sistema de monitoreogeneral del Centro de Datos.

4.1Equipo UPS para soportar continuidad al menos por 30minutos.

IDControl

Cumple/ No Cumple

El Centro de Cómputo deberá estar alejado como mínimo100mts de lugares de alto riesgo como gasolineras, bancos,gaseras, etc.

El Centro de Cómputo debe contar con protección perimetraladecuada que impida el acceso fácil desde el exterior y de serposible, debe tener algún elemento adicional de proteccióncomo malla de picos, malla eléctrica, etc.

2

3

I l l r

1

InfraestructuraEl Centro de Cómputo debe contar con loselementos físicos de seguridad necesarios para suprotección y contra cualquier contingencia.

El Centro de Cómputo debe contar con paredes de concreto,puerta blindada, piso falso, acceso ya sea por sistemabiométrico o tarjeta de proximidad o mínimo, con acceso porteclado.

Centro de Cómputo con protección estructural,perimetral, y con material seguro en muros,protección en rejas, etc.

Estructura

Manifiesta mi representada que cumple completamente con los puntos contenidos en esta matriz de control y que cuenta con evidencia del cumplimientode cada uno de los puntos ahí expresados.

Alcance: "Estos controles aplican a toda la infraestructura y aplicaciones que soportan los servicios que el proveedor otorga en nombre delSAT"

MATRIZ DE CONTROLES DE SEGURIDAD

Ubicación FísicaUbicación del Centro de cómputo libre de riesgosde alto impacto


2/16

4.2

Planta de energía que permita mantener la continuidad delservicio por al menos 1 día y con capacidad de recarga decombustible.

4.3Se cuenta con alimentación eléctrica de dos fuentesredundantes.

5.1¿Los planes de mantenimiento son actualizados por lo menosanualmente? Evidencia.

5.2

Los equipos UPS y Planta de emergencia se prueban por lomenos cada 3 meses? - Registro de pruebascon al menos Fecha y hora de la prueba. Responsable de laejecución de las pruebas. Momento de corte de corriente.

Desempeño de los equipos UPS (tiempo total del corte decorriente/Capacidad de carga final). Momento del Inicio de laplanta. Capacidad de combustible de la planta al inicio de laprueba. Capacidad de combustible de la planta al final de laprueba. Observaciones. Firma del personal del centro dedatos responsable de la prueba. .

Documentación necesaria de BCP que consideran lasaplicaciones e infraestructura requerida para garantizar lacontinuidad de la operación.

6.1Se cuenta con la Documentación del Plan de Continuidad deNegocio en el que se incluye el Centro de Cómputo,infraestructura, Equipamiento, Aplicativo, SO y BD?

Los planes de continuidad son probados al menosanualmente para verificar su efectividad y eficiencia, y lasdesviaciones son atendidas de manera inmediata, lasdesviaciones son solventadas en menos de 3 meses.

6.2 Evidencia de pruebas realizadas.

Documentación necesaria de DRP que consideran lasaplicaciones e infraestructura requerida para garantizar la

continuidad de la operación.

6.3Se cuenta con la Documentación del Plan de Recuperación enCaso de Desastres en el que se incluye el Centro de Cómputo,

infraestructura, Equipamiento, Aplicativo, SO y BD?

Los planes de continuidad son probados al menosanualmente para verificar su efectividad y eficiencia, y lasdesviaciones son atendidas de manera inmediata, lasdesviaciones son solventadas en menos de 3 meses.

6.4 Evidencia de pruebas realizadas.

TelecomunicacionesEl Centro de Cómputo debe contar seguridad en losdispositivos de telecomunicaciones, cuarto de controlprotegido, y garantizar la continuidad de lastelecomunicaciones.

7.1Inspección física del cuarto de comunicaciones para verificarque cumpla con los requerimientos de seguridad definidos.

Segmentación de redes en zonas, implementandodispositivos firewall para restringir el acceso a los sistemasque almacenan y procesan la información relacionada con elSAT,CFDI y contribuyentes.

7.2Inspección física y documental para verificar la segmentaciónde redes e implementación de dispositivos de red pararestringir el acceso a los sistemas con información relacionadacon el SAT,CFDI, y contribuyentes.

La infraestructura de red se ha configurado para queúnicamente sistemas e individuos autorizados tengan acceso

a los sistemas con información relacionada con el SAT,CFDI, ycontribuyentes.

7.3Inspección en sitio de los equipos, y/o ejecución de comandos

para extraer la configuración de los dispositivos de red.

Control de Acceso

8.1¿Se cuenta con guardias de seguridad en cada punto decontrol para proteger las instalaciones y asegurar el accesocontrolado?

8.2¿El personal de seguridad cuenta con equipo decomunicaciones y seguridad, así como acceso a números deemergencia?

8.3

¿Se cuenta con bitácora de acceso tanto a las instalacionescomo al centro de cómputo? Las bitácoras deben indicar almenos el nombre de la persona que accesó, hora y fecha deentrada, motivo, persona que autoriza su acceso si es que notiene acceso permanente, personal policial que lo acompañó,firmas de ambos.

8.4¿La persona que accede entrega credencial oficial confotografía? Evidencia.

El Centro de Cómputo debe contar con un Plan deMantenimiento para los equipos, cableado, sistemas contra

incendio, plantas, etc.

Los dispositivos y controles deberán recibirmantenimiento periódico, de acuerdo con las

especificaciones del fabricanteMantenimiento5

Infraestructura de telecomunicaciones, protecciónde dispositivos, etc. Implementación de d ispositivosy controles para prevenir el acceso no autorizado alos sistemas. Segmentación de redes

Servicio deTelecomunicaciones

7

6

8

Toda persona que acceda al Centro de Computo y en generala las instalaciones, deberá registrar su acceso en unabitácora destinado para ello.

Personal de seguridad permanente, procedimientosde vigilancia y acceso a las instalaciones mediantebitácoras, gafetes, credenciales, etc.

El Centro de Cómputo debe contar con Equipamientoeléctrico que permita mantener la continuidad del servicio.

Instalación eléctrica, rieles para el cableado, plantasde energía de emergencia, corriente regulada, etc.Instalación eléctrica4

El Centro de Cómputo debe contar con personal de vigilanciade manera permanente, y suficiente para asegurar el accesocontrolado y seguro, así como con personal de seguridadque monitoree las instalaciones para atender problemas.

Planes de Continuidad yde Recuperación enCaso de Desastres

Contar con la documentación del Plan deContinuidad de Negocio (BCP) y Plan deRecuperación en Caso de Desastres (DRP)

Seguridad física policial


3/16

8.5¿Se cuenta con seguridad para el resguardo de la bitácora? Semantienen los registros de acceso de los últimos 6 meses?Evidencia.

Las instalaciones deben contar con señalización que indiqueclaramente áreas sensibles y áreas restrictivas a los visitantesy personal no autorizado.

9.1¿Se cuenta con señalización clara y distinción código decolores de áreas críticas de acceso controlado?

Las puertas de emergencia de las instalaciones y lugar deresguardo de equipo contra incendio y demás equipo parauso en caso de emergencias, debe estar perfectamenteseñalizado.

9.2

Inspección física y/o documental para asegurar que lasinstalaciones del centro de cómputo y de las instalaciones engeneral, cuentan con señalización clara sobre rutas deevacuación y en general de las instalaciones.

Las puertas únicamente pueden ser abiertas desde el interiordel inmueble, y emiten una alarma sonora a su apertura.

9.3

Inspección física y/o documental para verificar que las puertasde emergencia:- No pueden ser abiertas desde el exterior.- Activan una alarma visual y sonora a su apertura.

9.4El personal que accede al Centro de Cómputo y a lasinstalaciones, porta en todo momento durante su estanciagafete o credencial autorizada?

9.5El personal de la empresa que no cuenta con credencial,también deja identificación oficial con fotografía y los canjeapor gafete autorizado.

10.1¿El acceso a las instalaciones y al centro de cómputo, esmediante dispositivos de control de acceso electrónicos,biométricos, etc.? Cuál(es)?

10.2 La información de acceso que se registra indica persona queaccede e información completa de la persona, fecha y hora.

10.3 El personal de acceso al centro de cómputo es reducido y se justifica por razones operativas o del negocio.

10.4 Los registros están protegidos y se evita su posiblemodificación o eliminación? Evidencia.

11 Visitas, proveedoresLos accesos por mantenimiento, fallas y otros,deben ser controlados y acompañados por personalde seguridad

Toda persona que acceda al Centro de Cómputo ya sea porvisita, mantenimiento a equipo, infraestructura, sistemas,etc. o por contingencia, deberá ser acompañado porpersonal de vigilancia para verificar los trabajos realizados.

11.1¿Existen bitácoras, videos o cualquier evidencia de que elpersonal policial acompaña a los visitantes al Centro deCómputo? ¿Cuál(es) es(son)?

12.1¿Existen Cámaras de Vigilancia para acceso y movimientos enlas instalaciones y Centro de cómputo? Identificarlas ymostrar cuarto de control

12.2

¿Existen bitácoras o evidencia de que se llevan a caborespaldos de los videos de las cámaras de Seguridad?¿Periodicidad de los respaldos?

12.3 ¿Los videos son resguardados en lugar seguro?

12.4¿Se guarda una copia en lugar distinto a las instalacionesprincipales?

Equipo de Cómputo

El Aplicativo deberá estar alojado en equipo de cómputoactualizado y que cuente con los elementos que garanticenel rendimiento y funcionalidad requeridos por el aplicativo ysobre todo por el servicio.

13.1

Evidencia documental del registro del modelo del equipo, eltamaño de la memoria y capacidad en disco duro y del análisisde dimensionamiento inicial de los requerimientos dehardware y software.

Configuraciones para protegerse de posibles ataques físicos. 13.2

Mantener actualizado el firmware, establecer contraseñascomplejas para el arranque del equipo y la configuración de laBIOS, deshabilitar el inicio de sistema desde cualquier unidadque no sea el disco duro principal, deshabilitar los dispositivosUSB. Evidencia de las actualizaciones y configuraciones base.

Instalación del sistema operativo . 13.3

Generar una partición exclusiva para el sistema operativo. Noinstalar componentes de sistema que no sean necesarios parael funcionamiento del aplicativo (puertos y serviciosinnecesarios).

Configuración adecuada de servicios de actualizacionesautomáticas.

13.4

Debe contar con un servidor de actualizaciones paramantener actualizadas todos las actualizaciones delfabricante. Probar en entorno controlado las actualizacionesantes de instalarlas. Evidencia.

El Centro de Cómputo y en general las instalaciones deberáncontar con cámaras de vigilancia cuyo mecanismo deberá serresguardado y administrado correctamente, tanto para suuso como para las cintas de respaldo y su resguardo.

Vigilancia electrónica mediante videos deseguridad, su respaldo y resguardoCámaras de Seguridad12

9

10

l l l

Se requiere que tanto para acceso al centro de cómputocomo en general para las instalaciones, se cuente conmecanismos electrónicos, biométricos, de tarjetas de

proximidad o mínimo de teclado electrónico para el controlde acceso.

Control de AccesoElectrónico

Mecanismos de control de acceso electrónicos,biométricos o de tarjetas de proximidad paraacceso, puertas con dispositivos o teclados decombinación numérica, etc.

r l l

Distinción de áreas en los gafetes que se le entregan alpersonal visitante o a empleados sin credencial autorizada.

Centro de cómputo seguro e instalaciones engeneral señalizado, que indiquen áreas seguras y/ocríticas

Señalización


4/16

Instalación, configuración y actualización de programas deseguridad.

13.5Contar con agentes de seguridad como antivirus, antispywarey HIPS – Detector de Intrusos de Host. Evidencia.

Firewalls locales (protección en la DMZ). 13.6

-IpsecReglas de entrada y salida de tráficoCifrado de comunicacionesEvitar conexiones a sistemas no autorizados-Windows Firewall / IPTableDefinición de aplicaciones válidas

Renombrar el usuario Administrador y posterior deshabilitarlas cuentas estándar del sistema.

13.7Demostrar que están renombrados el Administrador einvitado.

Configuración de los protocolos de Red. 13.8Deshabilitar todos aquellos protocolos de red innecesarios enel sistema y limitar el uso de los mismos al de TCP/IP.

Configuración de acceso remoto. 13.9

Es recomendable deshabilitar el acceso remoto, a menos quesea estrictamente necesario. Sin embargo, cuando esnecesario tener control remoto de la máquina, es precisoconfigurarlo de manera adecuada, restringiendo el acceso aun número muy limitado de usuarios, restringiendo al mínimolas conexiones concurrentes, tomando cuidado en ladesconexión y cierre de sesión y estableciendo un canalcifrado de comunicaciones para tales propósitos, como SSH(en caso de Linux o Unix).

14 Sistema Operativo Versión actualizadaEl sistema operativo instalado en el equipo deberá ser eladecuado para su correcto funcionamiento.

14.1 Indicar con qué versión de SO cuenta el equipo.

15.1

Se han definido procedimientos y herramientas paramonitorear la capacidad de la infraestructura tecnológica ydeterminar si se requiere incrementar la capacidad para

cumplir con los requerimientos actuales y futuros de laoperación? Como mínimo se debe registrar tiempos deprocesamiento, Capacidad de almacenamiento, Enlaces deredes.

15.2

Inspección documental de archivos de configuración y/oentrevistas con el personal del PAC para determinar si se hanimplementado procedimientos para la evaluación semestralde indicadores clave de operación de la infraestructura enrelación con los requerimientos actuales y las tendencias decrecimiento identificadas.

15.3Inspección de documentación sobre los análisis realizados, lasdecisiones y los planes de acción para determinar si se hantomado acciones para atender las desviaciones.

16.1 ¿Se cuenta con un registro de inventario de los mediosempleados? El registro debe contener al menos Tipo demedio, tipo de información almacenada.

16.2

¿Se cuenta con un registro de los medios destruidos? Eldocumento como mínimo deberá contener la firma delresponsable, motivo de la baja de los medios, el nombre delresponsable, cantidad de dispositivos, fecha, hora ycomentarios adicionales.

16.3¿Se destruye el medio en caso de obsolescencia, por daño o alhaber cubierto su vida útil? Indicar proceso y generar Acta deDestrucción o documento que avale y deje constancia de laacción.

17 Servidor de Tiempo Integración de un servicio de tiempo GPSEl proveedor debe contar con un servidor de tiempo NTP,con una sincronización por medio de un GPS en suinfraestructura.

17.1Se cuenta con un servidor de tiempo NTP sincronizado através de GPS.

APLICATIVO |Desarrollo

15

13

Retiro de DiscosDocumentación y políticas para el retiro de discosduros, cintas, discos óptimos y cualquier otromedio electrónico directamente ligado al proceso

Especificaciones técnicas actualizadasLa infraestructura y el equipo de cómputo deberá contar conel control de capacidades y rendimiento.

Se debe contar con el registro de todos los medioselectrónicos que tienen relación con el proceso, además decontar con procedimientos para el retiro de los medioselectrónicos ya sea por daño, obsolescencia o que se hayacubierto su vida útil.

Tecnología Actualizada Equipo de cómputo actualizado

Capacidad

16


5/16

18

Arquitectura

Características que debe contemplar el diagrama deArquitectura y si es posible, incluir un ejemplo omínimos requisitos

Se debe entregar el mapa de conectividad y equipamiento enel que se muestre la interoperabilidad entre loscontribuyentes, el Proveedor de Servicios y el SAT.

18.1 ¿Se cuenta con diagrama de Arquitectura?

Entrega de documentación que indique la administración declaves de acceso. Implementación de Controles para el Alta,Cambios y Baja de los usuarios.

19.1 Documentación de los procedimientos del mecanismo decontrol de acceso que indique cómo se lleva a cabo la acción.

Implementación de Controles y reglas para el Alta, Cambios yBaja de los usuarios.

19.2 ¿Se especifican las reglas para el alta, baja y cambios de clavesde acceso? Mostrar Procedimiento.

Las claves de acceso estarán sujetas a las políticas de controlde acceso, cancelación de claves, baja por rotación o salidade personal.

19.3

Se requiere evidencia (formatos, manuales, otro) de las altas,bajas, cambios autorizados. Identificar claramente la solicitud,el solicitante, los roles solicitados, el autorizador y su firma oVobo de autorización.

Se deberá bloquear la clave de acceso al existir un máximode 3 intentos fallidos. 19.4

¿El mecanismo de control de acceso bloquea la clave al fallarmínimo en 3 intentos?

Se deberá dar de baja la clave de acceso, por un mínimo de30 días de inactividad.

19.5¿La clave se da de baja por inactividad mínimo en 30 días? Elproceso es manual o es automático?

19.6 ¿Las políticas de control de acceso son revisadas por lo menoscada 6 meses? Evidencia.

19.7Depuración de claves de acceso de acuerdo a losmovimientos registrados por el área de RH, considerandoautorizaciones de áreas de Negocio.

Las claves de acceso deberán estar compuestas de 8caracteres para su adecuada administración.

19.8¿Las claves de acceso están conformadas por 8 caracteres?

Las claves de acceso deben ser de fácil definición para queestas puedan ser fácilmente identificadas.

19.9 ¿La construcción de las claves de acceso impide que sea lamisma que el usuario o que sea un espacio en blanco?

Estándares para la creación de cuentas.19.10 Se debe seguir un estándar institucional para la creación de

cuentas de acceso, por ejemplo el uso de RFC corto.

19.11¿Se emiten responsivas cada vez que se asigna una nuevaclave de acceso?

19.12 ¿Existe un procedimiento para la asignación y seguimiento delas responsivas de control de acceso?

20.1 ¿Las contraseñas de acceso son de al menos 8 caracteres?

20.2¿Las contraseñas de acceso incluyen al menos unamayúscula?

20.3¿Las contraseñas de acceso incluyen al menos un caracterespecial?

Cambio de contraseña en el primer inicio de sesión en elsistema.

20.4 ¿El sistema obliga al usuario a cambiar la contraseña una vezque el usuario realizó el primer inicio de sesión en el sistema?

Se deberá de bloquear la clave con un máximo de 3 intentosfallidos. 20.5

¿La clave de acceso es bloqueada al fallar mínimo en tresocasiones seguidas?

La contraseña deberá expirar en un máximo de 30 días, loque forzará a teclear una nueva contraseña.

20.6 ¿El sistema de control de acceso obliga al usuario a cambiar sucontraseña mínimo cada 30 días?

El aplicativo no deberá permitir repetir una contraseña almenos en tres ocasiones.

20.7 ¿El sistema de control de acceso impide al usuario ingresaruna contraseña igual, como mínimo tres veces anteriores ?

Llenado de Formato

Se deberá llenar adecuadamente el formato de clasificaciónde la información, de tal forma que se pueda llevar con estoel Análisis de Riesgos.

21.1 ¿Se cuenta con el inventario del Proceso y Activos deInformación delCFDI, debidamente requisitado?

Respaldo del llenado de informaciónEl formato de clasificación de la información deberá serdebidamente llenado y firmado por el responsable delproceso que aplica para el manejo de losCFDI.

21.2¿El formato de Clasificación se apega mínimo a los criterios delIFAI? ¿Fue llenado y firmado por el responsable del procesodeCFDI?

22.1¿Están habilitadas las Pista de Auditoria del Aplicativo,Sistema Operativo y Base de Datos, de tal forma que se lepueda dar seguimiento a accesos de Súper Usuario y deusuarios privilegiados y con permisos de súper usuario?

22.2¿La pista de auditoria indica quién ejecutó una acción otransacción?

22.3 ¿La pista de auditoria indica la fecha y la hora de ejecución deuna acción o transacción?

22.4¿La pista de auditoria indica qué acción o transacción seejecutó?

Las políticas de control de acceso deberán ser revisadas yactualizadas por lo menos cada 6 meses.

Políticas de Control de Acceso

Definición de longitud de claves, estructura declaves.

Control de Acceso

Administración, asignación y procedimiento declaves. Revisión periódica de los accesos provistos,dando seguimiento a las desviaciones

Mecanismo de Administración y Control de Acceso

r

La asignación de las claves de acceso, deberán estarrespaldadas por sus respectivas Responsivas de asignación yuso de claves.

19

ContraseñasLongitud de contraseñas y políticas para estructurade las mismas, rotación de contraseña, revocaciónde acceso, intentos fallidos, etc.

Clasificación de laInformación

Las contraseñas de acceso deberán tener al menos 8caracteres y estar compuesto por al menos una mayúscula,un caracter especial y un número.

El Aplicativo, SO y BD deberán contar con Pistas de Auditoríaque permitan conocer al menos quién entró, a qué horaentro y qué hizo.

20

21


6/16

El acceso a las pistas de auditoría del Aplicativo, SO y BD sólodeberá estar permitido para el usuario autorizado deauditoría y al súper usuario.

22.5¿El acceso a las pistas de auditoría de BD están restringidassólo al Súper usuario o al Usuario Privilegiado del Aplicativo,SO y BD?

Las pistas de Auditoría del Aplicativo, SO y BD deberánalmacenar información de al menos 6 meses de antigüedad.

22.6 ¿Las pistas de auditoria reflejan información de hasta 6 mesesde antigüedad?

22.7¿Las pistas de auditoría en línea sólo pueden ser accedidasmediante un usuario autorizado para ello? Mostrar evidenciade este tema y hacer pruebas

22.8¿Existe un mecanismo que deje evidencia del acceso a laspistas de auditoría del aplicativo?

22.9 Las pistas de auditoría dejan registrada la dirección IP delequipo en donde se ejecutó la acción o transacción.

Encripción de contraseñas Las contraseñas de acceso deberán estar encriptadas paraevitar su posible conocimiento por personal no autorizado.

23.1¿Se encriptan las contraseñas para evitar el conocimiento delas mismas ante un acceso indebido?

23.2Está encriptada la información clasificada como altamentesensible, como mínimo debe ser la relacionada con lainformación del SAT,CFDI y en general de los contribuyentes.

23.3¿Están encriptados los medios removibles y los equiposportátiles que contengan información clasificada o reservadapara evitar su acceso ante un incidente, robo, extravío oacceso no autorizado?

Son resguardados los certificados, llaves de encriptación ypassphrases de manera segura mediante controles deacceso, de manera que únicamente personal autorizadotiene acceso a las mismas? Evidencia.

24.1

Inspección de los directorios y herramientas empleadas parala administración de llaves de encriptación y passphrases paraconfirmar que únicamente personal autorizado tiene acceso alas mismas y que se tienen controles de acceso robustos paralas llaves de comunicación y certificados provistos por el SAT ypor los contribuyentes.

24.2

¿Se mantiene un registro de los hashes de control de llaves,certificados y otros elementos de criptografía? Los hashes sonverificados semanalmente y se mantiene registro de lasrevisiones mediante documentos o correos electrónicos,especificando Llaves o certificados evaluados, Hashes decontrol esperados, Hashes de control obtenidos.

24.3Se generan tickets de incidente o documentación formal parael seguimiento realizado a las deviaciones, especificando lasactividades seguidas para la solución.

La ubicación física en donde se encuentre almacenada lallave privada del certificado digital que el SAT emitió al PAC,debe encontrarse segregada. No debe haber personaloperativo de forma regular. Debe mantenerse un registro delos accesos. No debe ingresar personal no monitoreado a esazona.

24.4

Inspección física de la ubicación donde se encuentre eldispositivo que almacena la llave privada del certificadodigital. Evaluar que no haya personal operando o transitandoen la ubicación. Evaluar que se tenga registro de accesos.Evaluar que se tenga un esquema de monitoreo en dichazona.

NUEVO!

El acceso lógico y las operaciones en el dispositivo donde sealmacena la llave privada del certificado digital que el SATemitió al PAC debe registrarse.

24.5Registro o bitácora de accesos lógicos al dispositivo donde sealmacena la llave privada así como de las operaciones que serealizan en dicho dispositivo.

NUEVO!

El acceso al dispositivo que contiene la llave privada delcertificado emitido por el SAT debe realizarse a través de unaautenticación de la identidad de la persona que accede adicho dispositivo.

24.6Pruebas de autenticación de identidades al dispositivo quealmacena la llave privada.

NUEVO!

Las Pistas de Auditoría del Aplicativo, SO y BD deberán estarrestringidas al acceso sólo por personal autorizado.

22

24

Encripción

Criptografía

23 La información clasificada como altamente sensible, deberáestar encriptada para evitar su posible conocimiento porpersonal no autorizado.

Encripción de información sensible en BD, Pistas deAuditoría, envío de información, páginas Web, etc.

Bitácoras de Seguimiento y Auditoría para elAplicativo, Sistema Operativo (SO) y Base de Datos(BD)

Pistas de Auditoría

Se mantiene registros de los hashes de control para llaves,certificados, y otros elementos de criptografía para asegurarla integridad de los mismos.

Administración y protección deCertificados Llaves de encriptación y

passphrases


7/16

La capacidad de ejecución de tareas a realizar en eldispositivo que almacena la llave privada del certificadoemitido por el SAT debe ser definida basada en roles. Losroles de gestión y configuración de parámetros de seguridaddeben ser asignados a personal restringido con autorizacióny responsabilidad claramente asignada.

24.7

Pruebas de segregación de los roles de acceso al dispositivo.Matriz con roles asignados. Documentación de asignación deresponsabilidades al personal que gestiona el dispositivo y losparámetros de seguridad y cartas de dicho p ersonalaceptando la responsabilidad y posibles consecuencias deactuación incorrecta.

NUEVO!

El dispositivo que almacena la llave privada del SAT debecontar con recubrimiento especial, sensible, que prevengaque el dispositivo sea abierto, o que al ser abierto, impida elacceso a la información

24.8

Revisión de las características técnicas del dispositivo quealmacena la lalva privada. El dispositivo debe estar recubierto

con algún material opaco y debe contar con salvaguardas queimpidan que sea abierto o que invaliden la información encaso de que sea forzado.

NUEVO!

Administración de parámetros críticos de seguridad (talcomo la llave privada) en el dispositivo que almacene dichallave.

24.9

Los parámetros críticos de seguridad deberán seringresados/extraídos ya sea a través de puertos físicosexclusivos para dicho propósito y separados de los demás,deben ser ingresados/extraídos en una forma encriptada (yasea a través de dispositivos adicionales o periféricos) oingresados/extraídos directamente del dispositivo (sindispositivos adicionales o periféricos) a través de unprocedimiento de conocimiento dividido (varios tokens ocontraseñas que poseen diferentes individuos)

NUEVO!

Ingreso de la llave privada del certificado emitido por el SAT 24.10

Debe registrarse formalmente el procedimiento de ingreso dela llave privada. Esto se realizará frente a un testigoindependiente y se generará un acta en la cual losparticipantes firmarán que han atestiguado dicho ingreso yque la llave no fue copiada ni ha sido comprometida. NUEVO!

Ubicación de la llave privadad del certificado emitido por elSAT

24.11Una vez ingresada la llave privada al dispositivo que laalmacenará, ésta ya no se almacenará en ningún otrodispositivo. NUEVO!

25.1Informes, reportes o documentación de las evaluacionesefectuadas, pruebas y análisis.

25.2

Documentación sobre el seguimiento y acciones a tomar paramitigar las vulnerabilidades encontradas a raíz de las pruebasde vulnerabilidades y pruebas de penetración que incluyanresponsable, acción a ejecutar y fecha límite así como laevidencia de la ejecución de las mismas.

25.3

Procedimientos definidos para la instalación de parches parala corrección de las vulnerabilidades, incluyendo con ladefinición de ventanas de tiempo para su instalación yevidencia de pruebas en ambientes de calidad antes de migrara producción.

26 Separación de losSistemas y Aplicativos

Prevenir que la infraestructura y aplicacionesrelacionadas con la prestación del servicio seanempleadas para otros fines, o se comparta lainfraestructura, o use para propósitos ajenos alservicio.

La organización emplea infraestructura y aplicacionesexclusiva para soportar el servicio, con el objetivo deprevenir accesos a la misma por personal no relacionado conel servicio, o la explotación , modificación o extracción deinformación de manera intencional o no intencional.

26.1Inspección de la configuración de la infraestructura yaplicaciones para confirmar que la misma no se utiliza parafines ajenos a la prestación del servicio.

Lineamientos de configuración base para lossistemas

Establecer lineamientos de configuración base para lossistemas que soportan la operación, especificando políticasde contraseña, privilegios de acceso, servicios autorizados,mecanismos de protección, niveles de actualización, etc.

27.1Evidencia de la configuración de servicios activos y justificación de cada uno de ellos.

Expiración de Sesión

El aplicativo debe realizar una administración de las sesiones,de tal manera que garantiza que las cookies de sesióncuentan con un periodo de caducidad y la sesión expira enun tiempo determinado.

27.2El aplicativo debe contar con la característica de sesiónexpirada en un tiempo determinado. Presentar evidencia y eltiempo configurado.

Transferencia de InformaciónEl aplicativo debe realizar la transferencia de información porprotocolos seguros como https, en el cual se codifiquen lasesión con certificados digitales.

27.3La transferencia de información se debe llevar a cabo por unmecanismo seguro de conexión como https. Presentarevidencia.

25

Análisis deconfiguración, pruebasde penetración yanálisis devulnerabilidades

Evaluación de la infraestructura de acuerdo aestándares de configuración definidos

La infraestructura deberá ser evaluada trimestralmente paraasegurar que cumple con los estándares de configuracióndefinidos y para para identificar vulnerabilidades. Darseguimiento a las desviaciones identificadas.

Configuración deSistemas

27


8/16

Documentación de Línea base

Documentación formal y autorizada de los Baselines para laconfiguración a nivel sistema operativo, BD, comunicaciones,etc.

27.4Documentación de los Base Lines de SO, BD yComunicaciones.

Bases de Datos

28.1 Indicar cuál es la plataforma de BD que se está empleando yque se cuenta con la Versión actualizada.

28.2

Se cuenta con diagramas Entidad-Relación, diccionario dedatos y documentación de roles y perfiles de acceso a la basede datos.

28.3Se cuenta con la documentación del proceso de actualizaciónde parches.

28.4Se cuenta con la documentación del proceso de control decambios y del proceso de autorización de creación de objetos,del borrado en la BD y de acceso a la información.

Evaluación de Seguridad

29 Análisis de Riesgos Análisis del Sistema de Gestión, sus amenazas,vulnerabilidades y Riesgos

Se deberán definir las amenazas, vulnerabilidades y riesgos,con el fin de poder llevar a cabo un análisis de riesgosadecuado.

29.1 ¿Está definido y documentado el catálogo de amenazasvulnerabilidades y riesgos? Evidencia de la clasificación.

30 ProcesosIdentificación de procesos y documentación de losmismos.

Se deberá identificar y clasificar adecuadamente el procesode administración deCFDI.

30.1 ¿El Proceso deCFDI está adecuadamente documentado?Evidencia de la documentación del proceso.

31Activos de Información

Identificación de los Activos de Información ydocumentación de los mismos.

Se deberán tomar en cuenta los datos capturados para losActivos de Información.

31.1 Los datos capturados son los adecuados para llevar a cabo elanálisis de riesgos. Evidencia y ejemplo de los datos.

32 Controles ActualesIdentificación de Controles Actuales y su grado deimplementación.

Empleando la información vaciada en el formato deClasificación de la Información, se deberá llevar a cabo elanálisis de riesgos y de esta forma conocer la ausencia ocarencia de controles de seguridad.

32.1¿Se cuenta con una metodología para llevar a cabo el análisisde riesgos? Mostrar metodología y evidencia de cómo sesigue.

33 Revisión de ControlesRevisión de información y evaluación del nivel de

Control implementadoSe deberá llevar a cabo una revisión de los controlesexistentes y evaluar el nivel de implementación.

33.1

Los controles documentados y evaluados están claramentedefinidos y evaluados? Mostrar evidencia de los controlesinventariados.

34 Entrega de ResultadosEntrega de Documento de resultados del Análisis deRiesgos

La entrega de resultados del Análisis de Riesgos deberá estaracompañada de la documentación que indique claramentelos riesgos detectados, la ausencia de controles y el mapa deriesgos.

34.1¿La documentación resultante del análisis de riesgos arrojaresultados claros y concluyentes? Mostrar documentación deresultados.

35 Identificación deControles Aplicables

Controles aplicables al sistema de gestión Se deberán identificar los controles aplicables, de tal formaque se lleve a cabo un Plan de Trabajo para laimplementación y mitigación de riesgos de seguridad.

35.1¿Existe un Plan de Trabajo para mitigar riesgos a través de losresultados del análisis de Riesgos y los controles detectados?Mostrar Plan de Mitigación de Riesgos.

36 SOA Plan de implementación de controlesSe deberá generar una matriz de controles por dominio, elcual permita identificar en que parte estos deberán serimplementados, en qué parte no aplican y/o no es necesarioinvertir esfuerzo en su implementación.

36.1¿Existe la matriz que indique específicamente qué controlesimplementar en cada Sistema de Gestión? Mostrar matriz.

Auditorías periódicas para evaluar mejoras en laseguridad

El PAC deberá garantizar que se llevan a cabo auditoríassemestrales para todos los controles, las auditorías deberánser realizadas por un equipo independiente de la operación.

37.1

¿Existe registro de las evaluaciones semestrales para elmejoramiento de la seguridad a través de la implementacióno mejoramiento de controles? Mostrar documentación que locertifique.

Auditorías efectivas, mediante personal autorizadoy seguimiento El PAC deberá asegurar que el personal dedicado a las

auditorías tiene las capacidades necesarias para evaluar demanera efectiva los controles. Seguimiento hasta su cierre.

37.2

¿Existe personal capacitado para llevar a cabo las auditoríasde seguimiento? Mostrar evidencia de certificación oexperiencia del personal. Las certificaciones pueden ser: CISA,CISSP, CRISK, Lead Auditor ISO27001:2005.

RESGUARDO DE INFORMACIÓNRespaldos

Se deberán llevar a cabo respaldos de Sistema Operativo,Base de Datos y del Aplicativo.

38.1¿Se llevan a cabo respaldos periódicos de SO, BD y delAplicativo y sus pistas de auditoría respectivas? Bitácoras derespaldos y pistas de Auditoria.

Los dispositivos de respaldo deberán estar perfectamenteidentificados para su fácil localización.

38.2

Los dispositivos de respaldo deben contar con el adecuadoetiquetado y con los datos necesarios para su prontalocalización. Al menos deberán indicar tipo de respaldo,nombre del respaldo, fecha y hora del respaldo.

Los dispositivos de respaldo deben estar adecuadamenteordenados y clasificados para su ágil utilización.

38.3Debe existir una clasificación y orden adecuado para el accesofácil a los dispositivos de respaldo clasificándolo al menos porfecha y hora de respaldo.

Documentación de tipos de respaldo a ejecutarTipos de Respaldo38

Auditorías Internas37

r

28 Pl at af or maDocumentación e información de Plataforma deBase de Datos

Se debe documentar y explicar la plataforma de Base dedatos empleada para sustentar y soportar la información delsistema deCFDI.


9/16

Protección de Medios. 38.4Deben encriptarse los medios y dispositivos dealmacenamiento, empleando algoritmos definidos por el SATo mejores (AES con llaves de 256 bits o superior).

Ejecución de Respaldos

Los respaldos deberán llevarse a cabo con un períodomínimo.

39.1 Los respaldos deberán realizarse diariamente como mínimo.Evidencia en bitácora, documento o similar y demostración.

Garantizar restauración

Se deberá garantizar que la periodicidad de los respaldos,cubran la necesidad de restablecimiento en caso decontingencia.

39.2

¿La periodicidad de respaldo como mínimo de una semanagarantiza el restablecimiento adecuado de la operación?Indicar en caso contrario cada cuándo se llevan a cabo. Contarcon la evidencia de los resultados de las pruebas derestauración donde se indique que este fue exitoso

40.1¿Las pistas de auditoría de SO, BD y Aplicativo sonrespaldadas mínimo cada semana? Mostrar evidencia enbitácora y visual.

40.2Los respaldos de pistas de auditoría de SO, BD y Aplicativodeben ser resguardados en lugar seguro. Evidencia.

40.3¿El acceso a los respaldos de pistas de auditoría de SO, BD yAplicativo, se lleva a cabo sólo por personal autorizado?Mostrar evidencia en bitácora.

40.4Verificar Bitácoras de acceso a los dispositivos de respaldo depistas de auditoría del Aplicativo, SO y BD.

Se deberán respaldar los dispositivos de respaldo, en unlugar seguro y libre de humedad.

41.1 ¿El resguardo de dispositivos de respaldo es en un lugarseguro y de medio ambiente adecuado? Revisar y mostrar.

41.2

¿El acceso a los respaldos de pistas de auditoría de SO, BD,Aplicativo se lleva a cabo por personal autorizado? Mostrarevidencia de qué personas están autorizadas y la evidencia desus accesos.

41.3¿Se guarda una bitácora de acceso a los dispositivos derespaldo de pistas de auditoría de SO, BD y Aplicativo?Mostrar.

41.4

¿La bitácora de acceso a dispositivos de respaldo indicar almenos qué dispositivo se utilizará, quién solicita el acceso,motivo, fecha y hora de solicitud y fecha y hora de regreso deldispositivo? Mostrar.

Se deberá guardar una copia en un inmueble externo alprincipal en donde se lleven a cabo los respaldos.

42.1¿Se guarda una copia del respaldo de pistas de auditoría deSO, BD y Aplicativo, en un lugar distinto al principal? Mostrarevidencia visual y/o en bitácora, documentación, otros.

Deberá existir un procedimiento para eliminación dedispositivos de respaldo, ya sea por daño, por haber cubiertosu vida útil o por obsolescencia.

42.2¿Se muestra procedimiento para la eliminación de dispositivosde respaldo y la constancia de qué dispositivos se destruyen,la fecha, hora, motivo y responsable de la eliminación?

OTROS

Respaldo de Pistas deAuditoria

40

l

Resguardo de respaldos adicionales (copias)42 Copias

Periodicidad

Las pistas de Auditoría deberán ser respaldadasperiódicamente y almacenadas en lugar seguro para suposible revisión.

41

39

Se debe llevar a cabo respaldos adecuados de laspistas de auditoría que permitan dar unseguimiento puntual y exacto a actividadesrealizadas por Súper Usuarios, usuariosPrivilegiados y en general usuarios de SistemaOperativo(SO), Base de Datos(BD) y Aplicativo

El control de acceso a los dispositivos de respaldo, deberállevarse a cabo por medio de una bitácora que indique almenos qué dispositivo se utilizará, quién solicita el acceso,motivo, fecha y hora de solicitud y fecha y hora de regresodel dispositivo.

Ubicación física de los dispositivos de respaldoResguardo


10/16

43

Administración deCambios

Administración de Cambios. Se han definidoprocedimientos de administración de cambios paralas aplicaciones, infraestructura y dispositivosrelacionados con el servicio. Los procedimientosdefinen lineamientos sobre:- Registro del total de solicitudes de cambios,especificando información sobre: tipo de cambio,detalle de los sistemas o activos afectados, objetivodel cambio, fecha estimada de implementación,

pruebas para verificar la efectividad del cambio,impacto probable de la implementación delcambio, plan de retorno en caso de falla. - Evaluación del cambio, para determinar el nivelde impacto sobre la infraestructura y operaciones.- Evaluación del cambio para su categorizacióncomo cambio emergente, en caso que no puedaseguir el proceso normal de cambios debido a laurgencia e impacto de no implementarlo. - Definición y ejecución de planes de prueba paraverificar la efectividad del cambio. - Descripción de las actividades para revertir elcambio, en caso que el cambio sea fallido.

Se deberán implementar procesos de control de cambiospara toda la infraestructura, aplicaciones y dispositivosrelacionados

Se han implementado procedimientos para la administrar decambios que definan las actividades y lineamientosnecesarios para:- Registrar el total de las solicitudes de cambio,

especificando información sobre: Detalle del cambio,sistemas afectados, objetivo, impactos, fechas estimadas deimplementación.- Aprobación de los cambios dependiendo del alcance de losmismos, de los activos afectados, urgencia y nivel deimpacto.- Evaluación de los cambios para determinar el nivel deimpacto.- Categorización de los cambios como cambio emergente.- Definición y ejecución de planes de prueba.- Seguimiento a desviaciones en los planes de prueba.- Descripción de planes de retorno de los cambios.

43.1

Inspección documental y entrevistas para determinar si se haimplementado un procedimiento formal de cambios paratodos los activos relacionados con el servicio, que cumpla conlos requerimientos de:- Documentación mínima.- Aprobación.- Evaluación del nivel de impacto.- Categorización.- Definición de planes de prueba y seguimiento adesviaciones.- Definición de planes de retorno.

Inspección de una muestra de cambios para asegurar que losmismos se han implementado siguiendo los puntos de controldefinidos en el procedimiento.

Se realiza una evaluación inicial de los requerimientostecnológicos requeridos previo a la implementación de la

solución. La evaluación considera requerimientos deprocesamiento, comunicaciones, almacenamiento, niveles deservicio requeridos, picos de actividad y planes decrecimiento en el corto y mediano plazo.

44.1

Inspección documental y entrevistas para determinar cualesson los procesos que se siguen para determinar los recursostecnológicos requeridos para implementar la solución

tecnológica, considerando capacidad de las aplicaciones,infraestructura, telecomunicaciones, entre otros elementos. Elanálisis deberá tener en consideración los requerimientosiniciales, así como los requerimientos esperados en el corto ymediano plazo.

Al menos anualmente se realiza un análisis de indicadoresclave de desempeño y de tendencias de uso de los recursostecnológicos. Los resultados se evalúan en conjunto con lasexpectativas de crecimiento y de demanda en el corto ymediano plazo.

44.2

Inspección documental y entrevistas para conocer elprocedimiento seguido para analizar las tendencias de uso delos recursos, definición de indicadores clave de desempeño,así como las actividades para analizar estas tendencias contralos objetivos de crecimiento en el corto y mediano plazo.

Se definen planes de acción para atender desviaciones, opara cumplir con las expectativas futuras de crecimiento.

44.3Inspección documental de los planes de acción para atenderlas desviaciones o excedentes en los requerimientos derecursos tecnológicos.

Se realiza una evaluación inicial de los requerimientosoperativos para la implementación de la solución yprestación de los servicios. La evaluación considera losservicios prestados a las áreas usuarias, personal requeridopara el soporte a las operaciones, y administración de laplataforma tecnológica, capacidades técnicas, yconocimientos requeridos, entre otros factores.

44.4

Inspección documental y entrevistas para determinar cualesson los procesos que se siguen para determinar los recursosoperativos requeridos para implementar la solución

tecnológica, considerando los servicios prestados a las áreasusuarias, personal requerido para el soporte a lasoperaciones, y administración de la plataforma tecnológica,capacidades técnicas, y conocimientos requeridos, entre otrosfactores.

Al menos anualmente se realiza un análisis de indicadoresclave de desempeño y de tendencias de uso de los recursosoperativos. Los resultados se evalúan en conjunto con lasexpectativas de crecimiento y de demanda en el corto ymediano plazo.

44.5

Inspección documental y entrevistas para conocer elprocedimiento seguido para analizar las tendencias de uso delos recursos, definición de indicadores clave de desempeño,así como las actividades para analizar estas tendencias contralos objetivos de crecimiento en el corto y mediano plazo.

Planes de acción para atender desviaciones y cumplir con lasexpectativas de crecimiento.

44.6Inspección documental de los planes de acción para atenderlas desviaciones o excedentes en los requerimientos derecursos operativos.

Incidencias y Problemas

Capacidad Tecnológica. Se han definidoprocedimientos para la administración de lacapacidad tecnológica para asegurar que semantiene la capacidad y nivel de eficiencia de lossistemas en rangos aceptables, con base en mejoresprácticas de la industria.

Capacidad Operativa. Se han definidoprocedimientos para administrar la capacidadoperativa para asegurar que se mantiene un niveladecuado de operación y de atención arequerimientos, con base en los SLA's acordados,requerimientos regulatorios y retroalimentación delas partes interesadas

Capacidades44


11/16

El procedimiento de notificación de incidentes es conocido yseguido por las áreas usuarias, áreas administrativas y áreasde tecnología, todos los incidentes son registrados a travésde un punto único.

45.1

Inspección documental para confirmar que se ha definido unprocedimiento formal de administración de incidentes quedefine la información requerida para el registro y seguimientode incidentes hasta su solución.

Entrevistas con personal clave de áreas usuarias, áreas

Registro y seguimiento a incidentes, incluyendo incidentesreportados por usuarios, personal de sistemas, entre otros.

45.2Inspección de una muestra de incidentes para asegurar quecuentan con la información requerida y han sidocategorizados y seguidos de manera adecuada.

Se han definido actividades y mecanismos para elescalamiento de incidentes con base en el tipo de incidente,impacto y tiempo transcurrido desde su registro, entre otrosconceptos.

45.3

Inspección de la tabla de escalamiento para confirmar que lamisma define la siguiente información:

- Tipo de incidente.- Magnitud.- Impacto.- Umbrales de tiempo.- Personal a notificar en cada umbral.

Inspección de una muestra de incidentes para confirmar quese han seguido las actividades definidas en la tabla deescalamiento.

Cierre de incidentes. Los procedimientos definidosgarantizan que los incidentes son cerrados una vez que hansido solucionados. No se tienen registros de incidentecerrados sin haber sido solucionados.

45.4Inspección de una muestra de incidentes para asegurar quehan sido cerrados, y que su cierre se ha realizado posterior ala solución.

Manejo de Incidentes de Seguridad. Se hanimplementado procedimientos para laidentificación y seguimiento de incidentes deseguridad.

Registro y seguimiento a incidentes de seguridad. Se hanimplementado mecanismos y se cuenta con la experienciarequerida y mecanismos para identificar incidentes deseguridad. Se considera como incidente de seguridad acualquier evento intencional o no intencional que pone enriesgo la confidencialidad, integridad o disponibilidad de losactivos del servicio.

Los incidentes de seguridad deberán ser acompañados porun análisis exhaustivo por expertos para determinar el nivelde impacto y exposición generado como parte del incidente.

Los incidentes de seguridad deberán ser notificados en todoslos casos al SAT de manera inmediata, aún cuando no sehubiera concretado o no hubiera impacto.

45.5

Inspección documental y entrevistas con el personal paradeterminar si se cuenta con mecanismos de monitoreo yexperiencia en el personal para:- Identificación de incidentes de seguridad.- Categorización como incidente de seguridad.- Investigación del incidente por personal experto.- Notificación al SAT en el momento del incidente.- Registro y seguimiento a través de los procedimientos demanejo de incidentes.

Inspección de una muestra de incidentes para confirmar si serealizó un análisis adecuado para determinar si se trataba deincidentes de seguridad.

Inspección de una muestra de incidentes de seguridad paradeterminar si:- Se realizó un análisis exhaustivo por personal experto paradeterminar el impacto y nivel de exposición del incidente.- Se comunicó de manera inmediata al SAT.- Se tomaron las acciones necesarias para revertir los efectosdel incidente de seguridad.

Se ha definido un procedimiento que regula laadministración de problemas, incluyendo los siguientespuntos:- Criterios para considerar un problema.- Actividades para la determinación de las causas raíz.- Actividades para determinar los factores que propiciaron laocurrencia del problema.- Actividades requeridas para prevenir la recurrencia delproblema.- Actividades requeridas para minimizar el impacto en casode ocurrencia.- Definición de planes de acción.- Seguimiento hasta el cierre de los planes de acción.- Cierre del problema.

46.1

Inspección documental y entrevistas con los responsablespara determinar si se ha implementado un procedimientopara el manejo de problemas que considere los lineamientospara la identificación, determinación de causas raíz, factoresrelacionados, acciones de mitigación, definición de planes deacción y seguimiento de los mismos hasta su cierre.

La documentación relacionada con problemas por incidentesde seguridad deberá ser analizada por el SAT para obtener laaprobación de los planes de acción y de las actividades deseguimiento a los mismos.

46.2

Inspección documental y entrevistas con los responsablespara determinar si los problemas relacionados con incidentesde seguridad son comunicados al SAT previo a la aprobaciónfinal de los planes de acción y seguimiento de los mismos.

46

Manejo de Problemas. Se han implementadoprocedimientos para el manejo de problemas,considerando a los problemas como cualquierincidente recurrente, de seguridad o con unimpacto mayor a las operaciones o activosrelacionados con el servicio. Los problemas sonseguidos para determinar:- Causas raíz del problema.- Factores que propiciaron la ocurrencia delproblema.- Factores que pueden implementarse paraprevenir la ocurrencia del problema, o para mitigarel impacto del mismo.

Problemas

Manejo de Incidente. Se han implementadoprocedimientos para el registro y solución deincidentes, considerando como incidente acualquier actividad fuera de las operacionesnormales. Todos los incidentes son registrados ycanalizados a través de un punto único paragarantizar su tratamiento con base en loslineamientos definidos.Los procedimientos de manejo de incidentesrequieren que para cada incidente se registre lasiguiente información:- Fecha/hora de reporte del incidente.- Descripción del incidente.- Nivel de impacto del incidente.- Nivel de urgencia del incidente.- Tipo de incidente (redes, infraestructura,aplicativo, de seguridad, entre otros).- Estado del incidente (abierto, en solución,solucionado, cerrado).- Descripción de la solución.

Se han definido procedimientos para elescalamiento de los incidentes de acuerdo con eltipo de incidente, impacto y tiempo transcurridodesde su registro. El proceso de escalamiento se hadefinido en una tabla y es aplicable a todos losincidentes.Incidencias45


12/16

47 Manejo de Licencias

Uso y auditoría de licencias. Se deberá permitir laauditoría por parte del proveedor, del SAT ocualquiera que este defina para verificar eladecuado manejo de las licencias provistas por elSAT, para los fines que este convenga.

El PAC deberá garantizar que las licencias de softwareprovistas por el SAT son utilizadas para los fines acordados, ydeberá permitir la auditoría por parte del SAT, el proveedor,o cualquiera que estos definan para verificar el usoautorizado de las mismas.

47.1Inspección documental y/o entrevistas para determinar si laslicencias provistas están siendo empleadas para los finesacordados.

ELIMINADO!Controles en la aplicación

Se deberán identificar, entender y verificar el cumplimientocon las políticas y regulaciones de seguridad aplicables.

- El PAC deberá implementar los controles y mecanismosrequeridos para proteger y hacer buen uso de la informaciónpersonal a la que tuviera acceso, así como asegurar el apegocon la Ley Federal de Protección de Datos Personales enPosesión de los Particulares, y con otras legislacionesaplicables. - El PAC deberá especificar mediante un documento firmadopor su representante legal que:- Conoce la "Ley Federal de Protección de Datos Personales

en Posesión de los Particulares" , así como las legislacionesaplicables en materia de protección de datos.

- Reconoce su responsabilidad para verificar elcumplimiento con las leyes de protección de datos.

- Reconoce que será sujeto de sanciones por elincumplimiento de las leyes, con base en los lineamientosdefinidos en las mismas.

- Exime de cualquier responsabilidad al SAT, derivado delacceso a la información relacionada con el servicio queprestará, incluyendo los servicios gratuitos y con costo.

48.1

Inspección documental, entrevistas y revisión de archivos deconfiguración para asegurar que se han cumplido los criteriosde revisión.Inspección de los acuerdos para asegurar que el PAC haentendido y ha asumido la responsabilidad sobre elcumplimiento con los lineamientos y definiciones definidos enlas legislaciones aplicables.

Se deberán identificar y eliminar el uso de componentescompartidos.- El PAC deberá asegurar que toda la infraestructura ysistemas relacionados con el servicio son de uso exclusivo,no son utilizados para otros fines, y están separados física ylógicamente .

48.2Inspección documental, entrevistas y revisión de archivos deconfiguración para asegurar que los componentes de lasolución son de uso exclusivo para este fin.

Se deberá especificar un documento denominado "Flujo deDatos de la Solución", en el que se especifique el flujo dedatos e información de los componentes internos y externos.El flujo de datos deberá evitar que los datos e informaciónsean intercambiados con componentes no administradospor el PAC bajo los lineamientos de seguridad necesariospara proteger la información. Para definir el documento"Flujo de Datos de la Solución" se deberán realizar lassiguientes actividades.

- Se deberán identificar todos los componentesrelacionados con el servicio, incluyendo aplicaciones, einfraestructura empleada para el almacenamiento,procesamiento, transmisión y recepción de datos. Se deberádefinir un diagrama del flujo de información que deberámostrar todos los componentes relacionados con el servicio,incluyendo aplicaciones, servidores, bases de datos,dispositivos de almacenamiento, impresoras, reporteadores,entre otros. Adicionalmente se deberán especificar a detallelos siguientes datos para cada componente:

- Marca/Modelo del componente.- Tipo de componente.- Información sobre el componente, versionamiento y otra

información.- Propósito del componente.- Componentes con los que intercambia información.

48.3

Inspección documental, entrevistas y revisión de archivos deconfiguración para asegurar que el documento "Flujo deDatos de la Solución" es completo y veraz.

Verificar que el flujo de datos de la solución no interactúa concomponentes que no son administrados bajo los lineamientosde seguridad.

Arquitectura de Seguridad.La solución implementada por el PAC deberá cubrirlos siguientes controles, independientemente deltipo de solución o arquitectura implementada.


13/16

Se deberá especificar un documento denominado"Interconexiones de la Solución" en el que se identifiquen lasinterconexiones en el ambiente de aplicaciones. No sedeberá tener conexiones con sistemas externos al PAC, o consistemas que no sean administrados bajo los lineamientos deseguridad requeridos para proteger la información. Eldocumento deberá especificar:- Todas las conexiones con la intranet, internet, conexionescon socios de negocio, entre otros puntos, así como loscontroles de acceso.

48.4

Inspección documental, entrevistas y revisión de archivos deconfiguración para asegurar que el documento"Interconexiones de la Solución" es completo, actualizado yveraz.

Verificar que el flujo de datos de la solución no interactúa concomponentes externos o que no son administrados bajo loslineamientos de seguridad.

Definición de controles de acceso, autenticación yautorización, .- Se deberá identificar en un diagrama las direcciones IP ypuertos requeridos por cada componente para el adecuadofuncionamiento, la infraestructura de red y sistemas deberánconfigurarse para permitir el acceso a través de lasdirecciones y puertos especificados.

48.5

Inspección documental, entrevistas y revisión de archivos deconfiguración para asegurar que se han definido lasdirecciones IP y puertos requeridos para el adecuadofuncionamiento de la aplicación.

Verificar los mecanismos de control de accesos para asegurarque los mismos se han configurado con base en losrequerimientos de acceso.

Encriptación.La solución implementada deberá cubrir lossiguientes controles sobre encriptación,independientemente del tipo de solución oarquitectura implementada.

Se deberán establecer mecanismos de encriptación talescomo SSL/TLS para las conexiones. Se deberá asegurar que eltrafico no encriptado no contiene información sensible, porejemplo páginas con áreas http y https.

48.6

Inspección documental, entrevistas y revisión de archivos deconfiguración para asegurar que las conexiones con lainfraestructura se realizan a través de medios segur0s talescomo SSL/TLS.

Verificar que el tráfico no encriptado no contiene informaciónsensible.

Control de acceso.La solución implementada deberá cumplir con lossiguientes controles sobre controles de acceso,independientemente del tipo de solución oarquitectura implementada.

Definición de controles de acceso a los recursos, y funcionesde la solución.Se deberán tener niveles de acceso en la soluciónimplementada, los accesos se restringirán al mínimo nivelrequerido para el adecuado funcionamiento de la solución, ydeberán considerar las funciones operativas yadministrativas.

48.7

Inspección documental, entrevistas y revisión de archivos deconfiguración para asegurar que se han definido niveles deacceso a los recursos, y que los niveles de acceso sonotorgados al personal, con base en los requerimientos deacceso.

Inspección de los niveles de acceso otorgados para asegurarque los mismos se otorgan únicamente al personal con baseen el mínimo privilegio requerido.

Validación de entradas.La solución implementada deberá cumplir con lossiguientes controles sobre validación de entradasde datos, independientemente del tipo de solución

o arquitectura implementada.

Las entradas de datos por usuarios y otras aplicacionesdeberán ser validadas para confirmar que no contienensentencias o valores no permitidos. Las validaciones deberánser realizadas a través de controles del lado del servidor, y noa través de validaciones a nivel cliente tales como java script.

Se deberán implementar los siguientes tipos de validaciones:

- Verificaciones de Integridad. Para validar que los datos nohan sido modificados al viajar desde el servidor al navegadorde los usuarios y de regreso, o que los montos de latransacción origen generada por el usuario se conservanhasta su registro final en el servidor, así como en cualquiertransacción en que la información viaje a otros sistemas.

- Validación. Para asegurar que los datos tienen la sintaxiscorrecta, con los caracteres esperados y con la longituddefinida. Se deberán implementar controles de validación enla capa web o de presentación y se deberá verificar que noexistan scripts o secuencias no permitidas.

- Reglas de negocio. Para asegurar que los datos de entradatienen sentido.

48.8

Inspección documental, entrevistas, revisión de archivos deconfiguración y pruebas de entrada de datos para asegurarque se han implementado mecanismos para validar los datosde entrada, previniendo el uso no adecuado de datos deentrada, pérdida de integridad en la transportación de datos,y uso de datos no reales.

Codificación de salidas.La solución implementada deberá cumplir con lossiguientes controles de codificación de salidas,independientemente del tipo de solución oarquitectura implementada.

Codificación de salidas.Las salidas de información deberán ser codificadas en unformato correcto, para prevenir que puedan serinterpretadas como directivas o instrucciones en el contextode la salida. Deberán considerarse caracteres especiales,tales como ",',\n,\x0, u otros.

48.9

Inspección documental, entrevistas y revisión de archivos desalida para asegurar que se han implementado mecanismospara la adecuada codificación de los datos de salida, paraprevenir la inadecuada interpretación o ejecución deinstrucciones.

Seguridad en laaplicación

48


14/16

Criptografía.La solución implementada deberá cumplir con lossiguientes controles de criptografía,independientemente del tipo de solución oarquitectura implementada. Los mecanismos decriptografía deberán estar alineados a mejoresestándares de seguridad y deberán prevenir eldescifrado de llaves.

Criptografía.Se deberán implementar mecanismos de criptografía parasoportar las siguientes funcionalidades:- Autenticación de los clientes y PAC.- No repudiación de las transacciones.

48.10

Inspección documental, entrevistas, revisión de archivos deconfiguración y pruebas de acceso a la aplicación paraasegurar que se han implementado mecanismos decriptografía para asegurar:- La autenticación de los clientes y del PAC. - La autenticación del PAC con el SAT.- No repudio de transacciones.

Manejo de logs, errores y registro.La solución deberá contar con mecanismos para el manejode errores y excepciones, asegurando que:

- Los mensajes de error mostrados por la aplicación nodeberán proveer información sensitiva.- Las excepciones no proveen información sensitiva a los

usuarios de la aplicación.

48.11

Inspección documental, entrevistas, revisión de archivos deconfiguración y pruebas de uso de la aplicación para asegurarque se han implementado mecanismos para el adecuadomanejo de excepciones y errores, así como la divulgación deinformación sensible a través de los mensajes de error.

Se deberán registrar al menos los siguientes eventos:- Acceso directo a datos. Especificando quién accedió, quédatos accedió y el timestamp. - Escritura o modificación de datos. Especificando quiénrealizó la acción, que hizo (agregar o modificar datos), quédatos accedió, y el timestamp. - Escritura o modificación de archivos de configuración.- Actividades administrativas como modificación deparámetros, creación de usuarios, entre otros.

- Intentos de acceso (exitosos o fallidos) a recursos ofunciones.

48.12

Inspección documental, entrevistas, revisión de archivos deconfiguración y de trazas de auditoría para asegurar que lasmismas se han configurado para registrar información sobreeventos relevantes.

ADeclaración denamespaces

Declaración de namespaces

Verificar la correcta definición de namespaces,haciendo la referencia a la ruta publicada por elSAT en donde se encuentra el esquema de XSD.(Referencia Anexo 20)

A.1Revisión de la correcta declaración de losnamespaces del CFDI conforme al Anexo 20 encada uno de los rubros aplicables

BDeclaración deAddenda y susnamespaces

Declaración de Addenda y namespaces

Si se requiere utilizar esta funcionalidad, sedeberá definir el nuevo namespace dentro delnodo Comprobante y publicar la ruta del esquemaXSD para la validación

B.1Revisión y validación de la integración del TimbreFiscal Digital y la addenda cuando esta aplique, consus namespaces conforme al Anexo 20

C Validación de Datosrequeridos Validación de Datos requeridos Validación de los campos obligatorios del CFDIque cumplan con el esquema de datos C.1 Validación sintáctica correcta del esquema dedatos establecido.

DUtilización decaracteres especiales ysecuencias de escape

Utilización de caracteres especiales ysecuencias de escape

Utilización de caracteres especiales y secuenciasde escape Generar un CFDI que contengacaracteres especiales y secuencias de escape

D.1

Se deberá representar correctamente dichoscaracteres codificados en UTF-8 en la factura y enla generación de la cadena original, así como en larepresentación impresa del CFDI.

ECaracteres en blanco,tabuladores o retornosde carro

Caracteres en blanco, tabuladores oretornos de carro

Generar un CFDI con 2 o más caracteres enblanco, tabuladores y retornos de carro

E.1

Se deberán remplazar todos los tabuladores,retornos de carro y saltos de línea por un espaciosen blanco (toda secuencia de caracteres en blancointermedias se sustituyen por un único carácter enblanco) Anexo 20.

Manejo de logs, errores y registro.La solución implementada deberá cumplir con lossiguientes controles sobre manejo de errores,excepciones, logs, bitácoras y registro de eventos,independientemente de la solución implementada..

VALIDACIÓN TECNOLÓGICA


15/16

F

Sellado conforme a lacadena original para elCFDI y para el TimbreFiscal Digital

Verificación del correcto sellado conformea la cadena original para el CFDI y para elTimbre Fiscal Digital

Validación criptográfica de los sellos F.1

El correcto sellado conforme a la cadena original(En este proceso se realizan las dos validacionescriptográficas, aplicables al CFDI y al Timbre delPAC)

GVerificación de lavalidación de cadacomprobante

Verificación de la validación de cadacomprobante para la emisión de un timbre

Cumplir con todas las validaciones necesarias parala emisión de un timbre

G.1

1. Que cumpla la estructura XML (XSD ycomplementos aplicables)2. Que cumpla con el estándar de XML (Conforme

al W3C)3. Que el CSD del Emisor corresponda al RFC queviene como Emisor en el Comprobante4. Que el CSD del Emisor haya sido firmado por unode los Certificados de Autoridad de SAT5. que la llave utilizada para sellar corresponda aun CSD (no de FIEL)6. que el CSD del Emisor no haya sido revocado,utilizando la lista de CSD7. que el sello del Emisor sea válido8. Que la fecha de emisión esté dentro de lavigencia del CSD del Emisor9. Que exista el RFC del emisor conforme alrégimen autorizado (Lista de validación derégimen)10. que el rango de la fecha de generación no seamayor a 72 horas para la emisión del timbre11. que la fecha de emisión sea posterior al 01 deEnero 201112. que no contenga un timbre previo13. que el PAC no haya timbrado previamentedicho ComprobanteLa previa validación de la vigencia de loscertificados usados en el sellado delCFDI

NUEVO!

H Cliente GratuitoCumplimiento del cliente gratuito con losestándares CFDI emitidos por el SAT.(Anexo 20 y Matriz de Controles)

Cumplimiento con requisitos técnicos yfuncionales, que el cliente sea fácil de usar ycuente con una interface amigable. Revisióndocumental de manuales

H.1

Validar que el cliente gratuito cumple con losrequisitos técnicos emitidos por el SAT: Verificarque el cliente gratuito tenga las funcionalidades deautenticación de usuarios, administración decomprobantes emitidos, creación derepresentación impresa. Verificar que el clientegratuito es multiplataforma y tecnológicamenteneutral. Revisión de manuales de usuario, deatención a usuarios y manual de pruebas para elSAT

NUEVO!

I Validación de f lujosValidación de la creación de un CFDI desdeel contribuyente hasta su almacenamientoen el SAT

Cumplimiento del paso por cada componente queintegre el servicio de punta a punta. Otorgar alSAT usuarios para realizar pruebas

I.1

Verificar que el servicio ofrecido desde el clientegratuito y que al prestar la certificación (timbrado)a terceros, se cumpla con la entrega del CFDI al SATy el envío del Timbre Fiscal Digital al cliente que logenere

J C on ex ió n Re mo taVerificación de la aplicación por medio deuna conexión remota

La conexión Remota debe permitir el accesodesde la Red del SAT

J.1

Realizar una conexión remota exitosa al aplicativodel Proveedor y realizar pruebas conforme a losmanuales de usuario y usuario para el SATentregados . (generación deCFDI, administraciónde CFDI, impresión, etc.)

K.1El manual de usuario debe contener un índice y lospuntos que describan los pasos a manera de guíapara hacer uso del servicio y sus funcionalidades

l rr l r r

r r l r r r l r

r r rr l


16/16

K.2

El manual de atención a usuario debe contener uníndice y los puntos donde se informe al usuario lasformas de contacto y resolución de problemas conel servicio y sus funcionalidades

K.3El manual de usuario SAT debe contener un índicey los puntos que describan los pasos para que elSAT realice las pruebas remotas o en sitio

L.1

Mostrar el Documento de Acuerdo de Niveles de

Servicio (SLA). En particular para la AplicaciónGratuita se debe cumplir con lo publicado en lapágina de internet respecto a la funcionalidad yservicios respectivos

L.2

Mostrar el Documento de Convenio deConfidencialidad, mediante el cual el ProveedorAutorizado se compromete a hacer buen uso de lainformación del Contribuyente.

El aspirante debe documentar todo el personal que interviene en el proceso de CFDI y notificar al SAT cuando existan cambios.

Nombre y Firma del Representante Legal

Se deberán mostrar los documentos de Acuerdosde Niveles de Servicio (SLA) y de Convenio deConfidencialidad, entre el Proveedor Autorizado yel Contribuyente

Documentos de Control en los cuales seestablezca y especifique, los acuerdos deServicio y Confidencialidad

Confidencialidad yNiveles de Servicio

L

K Manuales de UsuarioEntrega de Manuales de Usuario para unamejor Administración

Los manuales deben integrar instrucciones claraspara usuario, de atención a usuario y de atencióna usuario del SAT

Ejemplo de Una Matriz de Control

Documents

Transcript of Ejemplo de Una Matriz de Control