Matriz de Controles para la Revisin de Seguridad para los PSRDD

Nota: La presente matriz estar vigente a partir del 09 de febrero de 2015.

rea de Sub-rea
ID Control Control Interpretacin del Control Periodicidad / Parmetro Requerido Entrega esperada
Control de Control
rea de control: Postura de la Empresa sobre la Seguridad de la Informacin

Parmetros internos y externos del ambiente PSRDD, establecer el alcance y criterios de riesgos.
Documento con la
Contexto del negocio en donde ste
1 pretende alcanzar sus objetivos. Se espera un documento donde se identifique el contexto donde el PSRDD se va a desenvolver, los descripcin del contexto de
negocio.
factores que pueden afectar, los riesgos, factores de cambio.

Requerimientos de negocio de los distintos participantes, involucrados en el proceso de prestacin de

Requerimientos de negocio de los servicios. Ej. Gobierno, IFAI, Contribuyente, Negocio.
2 distintos participantes (internas y Documento y mapa de
requerimientos.
externas) Se espera un documento en donde se especifique qu requerimientos existen para que el negocio
pueda operar.
Entendimiento
del negocio

1. Proceso documentado del negocio.

2. Alcance detallado del proceso.
3. Objetivos, indicadores claves de cumplimiento y mtricas.
4. Entradas y salidas del proceso. (Diagrama)
Definir alcance de los objetivos y 5. Roles, responsabilidades y competencias del personal que interviene en el proceso.
3 Documento
procesos de negocio. 6. Recursos que intervienen en la ejecucin del proceso. (organigrama)
7. Tareas que se ejecutan en el proceso.
8. Indicadores y mtricas que demuestren que el proceso se realiza de forma eficiente.
9. Estndares, normas o buenas prcticas al que esta alineado el proceso.
10. Monitoreo y evaluacin del proceso.

Documento con la
1. Se debe de tener objetivos y una poltica de seguridad de la informacin de alto nivel compatible incorporacin de la
con la estrategia de negocio corporativa dentro del alcance de los servicios del negocio. estrategia de seguridad con
2. Asegurar que los requerimientos de la seguridad de la informacin estn integrados a los procesos la estrategia del negocio.
organizacionales relacionados con los servicios del negocio. Documento con los recursos
3. Asegurar que se proporcionen los recursos requeridos para mantener la seguridad de la asignados.
4 Liderazgo y compromiso informacin del negocio. Documento con el programa
4. Comunicar en forma efectiva la importancia de mantener los niveles adecuados de seguridad de de seguridad de la
informacin y se conforme con todo lo solicitado por el SAT en ste rubro. informacin.
5. Asegurar que los requerimientos de seguridad de la informacin alcanza sus objetivos. Documento de reporte de
6. Dirigir y liderar los roles gerenciales para contribuir a la efectividad en el cumplimiento de los asignacin y supervisin de
requerimientos de seguridad y la mejora continua de su gestin. avance del programa de
seguridad de la informacin.

1. Anlisis del ambiente actual y pronosticado de amenazas a la seguridad de la informacin.

2. Conceptos de seguridad de la informacin, principios y gobernanza que se le va a dar.
5 Poltica de seguridad de la 3. Objetivos de seguridad de la informacin con respecto al negocio. Documento con poltica.
informacin de alto nivel 4. Atencin a desviaciones y exclusiones.
5. La poltica debe de estar firmada y comunicada por la alta direccin.

Liderazgo de la
Alta Direccin
1. Poltica de seguridad de la informacin. - Contiene los lineamientos generales de las polticas de informacin.
2. Poltica de la organizacin de la seguridad de la informacin.
Contiene los lineamientos bajo los cuales se rige la seguridad de la informacin.
3. Poltica para seguridad de los recursos humanos. - Polticas relacionadas a la administracin del recurso humano.
[Link] de gestin de activos. - Polticas que definirn el proceso con lo cual se gestionarn los activos.
5. Poltica de control de accesos. - Poltica que detalla el acceso a las diferentes instalaciones.
6. Poltica de criptografa. - Poltica de uso de criptografa en aplicaciones y servicios.
7. Poltica de seguridad fsica y ambiental. - Polticas que rigen la seguridad fsica y ambiental de las distintas instalaciones.
8. Poltica de seguridad en las operaciones. - Polticas con las consideraciones de seguridad para las operaciones diarias.
9. Poltica de seguridad en las comunicaciones. - Polticas que rigen las comunicaciones para los activos que participan en el proceso.
10. Poltica para la adquisicin, desarrollo y mantenimiento de sistemas
Las polticas que tienen impacto en la operacin, los nuevos sistemas y su impacto en los sistemas.
11. Poltica de relaciones con los proveedores.
Las polticas que rigen el trato con los proveedores as como las implicaciones de seguridad que se deben de considerar.
Polticas especificas de seguridad 12. Poltica para la gestin de incidentes de seguridad de la informacin
6 Poltica que regir la gestin del incidente, desde que se presenta el incidente. Documentos de polticas
de la informacin
13. Poltica para la gestin de los aspectos de seguridad de la informacin en la continuidad de negocio.
Poltica con las consideraciones que se tomarn para el desarrollo del BCP.
14. Poltica para el cumplimiento. - Reglas que se van a tomar en cuenta para el seguimiento y cumplimiento de las normativas de la empresa.
'15. Poltica de uso de contraseas.
La empresa debe contar con una poltica de uso de contraseas, donde se especifique la responsabilidad de los usuarios en el uso de las mismas, caducidad, proteccin
de las mismas.
16. Poltica de equipo desatendido.
La empresa debe contar con una poltica de equipo desatendido, donde se especifique los requerimientos de seguridad para el equipo cuando el usuario no est
presente.
17. Poltica de escritorio limpio.
La empresa debe contar con una poltica de Escritorio limpio, donde se especifiquen los requerimientos de seguridad para los puestos de trabajo.
18. Poltica de control de accesos.
La empresa debe tener una poltica y procedimientos formales de Control de Accesos que aplique por lo menos a todos los activos que dan soporte al proceso de PSRDD,
misma que debe ser revisada y actualizada por lo menos cada 6 meses.
*Las polticas debern ser revisadas como mnimo anualmente, exceptuando aquellas que se debern revisar con mayor antelacin

Se debe de tener un responsiva firmada especifica para el rol y responsabilidades de cada elemento
Documentos con responsivas
que va a participar en la prestacin del servicio.
Roles, responsabilidades y de los participantes.
7 autoridad con respecto a la Organigrama.
Debe de considerar por lo menos tipo de documento, rea, fecha, nombre, puesto, descripcin, texto
seguridad de la informacin. Roles dentro del
que identifique a que informacin accede, responsabilidades y obligaciones, marco de referencia
organigrama.
normativo (interno y externo), firma y fecha de aceptacin y conformidad.

Estructura
organizacional

Gestin de administracin del riesgo:

1.-Diseo o eleccin del marco para administrar el riesgo.
Marco del trabajo seleccionado 2.-Implementar la administracin de riesgos.
Documento con el marco de
8 para la gestin de riesgos de 3.-Monitorear y revisar el marco de trabajo.
trabajo.
seguridad de la informacin. 4.-Mejora continua del marco de trabajos.

* Lo anterior es enunciativo ms no limitativo.

 1. Nivel de riesgo aceptable.
[Link] de valoracin de riesgos:
2.1 Identificacin de riesgos.
2.2 Anlisis de riesgos.
2.3 Evaluacin de riesgos.
3. Proceso de tratamiento de riesgo.
Metodologa para la gestin de Documento con la
9 3.1 Seleccin de tipo de tratamiento con justificacin.
riesgos metodologa a seguir.
3.2 Declaracin de aplicabilidad de los controles de seguridad de la informacin.
Gestin de 3.2.1 Determinar la aplicacin o no de los controles as como las razones para su aplicacin o
riesgos no aplicacin
3.2.2 Determinar si el control esta desplegado, su efectividad o en vas y su plan de
despliegue correspondiente.
3.3 Plan de implementacin de controles.

Documento con los

Ejecucin de los procesos de 1. Valoracin del clculo del nivel del riesgo.
10 resultados de la gestin de
gestin de riesgos. 2. Trazabilidad de la gestin del riesgo.
riesgo.

1. Deben estar alineados con la poltica de TI.

2. Debe de ser medible.
3. Deben de tomar en cuenta los requerimientos de seguridad de la informacin, resultado del
anlisis y tratamiento del riesgo.
4. Debe de estar comunicado en la organizacin.
5. Debe de estar actualizado. Documento y plan de trabajo
Objetivos de seguridad de la
11 informacin 6. Plan de trabajo para cumplir los objetivos. (Los siguientes numerales son enunciativos ms no con los objetivos de la
limitativos) seguridad de la informacin.
6.1 Qu es lo que se va a hacer?
6.2 Qu recursos son requeridos?
Objetivos y 6.3 Quin va a ser responsable?
competencias 6.4 Cundo se va a completar?
6.5 Cmo se va a evaluar los resultados?

1. Las personas que participan en los servicios del negocio o son encargados de la seguridad de la
informacin debern tener la competencia requerida para desempear sus funciones.(Con base a su Documento con las
12 Competencias experiencia, educacin y/o entrenamiento adecuado) competencias por rol y plan
2. Plan de capacitacin o entrenamiento para alcanzar o retener las competencias requeridas para de capacitacin.
desempear las funciones.

La organizacin debe de determinar las necesidades de comunicacin interna y externa relevante

para la administracin del sistema de seguridad de la informacin, se debe de incluir lo siguiente:
Gestin de comunicacin de 1. Qu es lo que se debe de comunicar?. Documento que detalle la
13 seguridad de la informacin con 2. Cundo se debe de comunicar?.
gestin de comunicacin
entidades internas y externas. 3. A quin se le debe de comunicar?.
4. Quin lo debe de comunicar?.
5. Los procesos que pueden ser afectados por la comunicacin.

Comunicacin

El personal que este participando debe de tener conocimiento de:

1. La poltica de seguridad de la informacin
2. Su participacin para la efectividad de la seguridad de la informacin y sus beneficios.
Plan de concientizacin,
3. Las implicaciones de no cumplir con los requerimientos de la seguridad de la informacin. listados de asistencia con
14 Concientizacin 4. Las sanciones internas a las que se haran acreedores en caso de no cumplir con alguna de las
fecha y firma.
polticas de seguridad de la informacin.

* Los puntos son enunciativos ms no limitativos.

rea de control: Operacin de la Seguridad de la Informacin en la empresa

Planear, implementar y controlar los requerimientos y objetivos de seguridad de informacin. Debe

de considerar el control de cambios, as como plan de accin para mitigar cualquier efecto adverso.
Plan operativo de seguridad
Operacin de la 15 Operacin Los proveedores que ofrezcan servicios al PSRDD debern estar capacitados, conocer y alinearse a las de la informacin, controles
seguridad de cambio, controles de
polticas de seguridad de la informacin de la empresa, lo anterior con el fin de garantizar que el
servicio proporcionado cumple con las especificaciones tcnicas que hayan sido aprobadas y dadas a seguridad de la informacin
conocer en el Portal del SAT.

rea de control: Evaluacin del rendimiento de la Seguridad de la Informacin en la empresa

La organizacin deber evaluar si el desempeo y efectividad de su servicio y la seguridad se

encuentran acorde a sus polticas y procesos:
1. Determinar que se debe de monitorear y medir.
2. Determinar qu mtodos se van a utilizar para monitorear, medir, analizar y evaluar.
Documento de gestin de
3. Determinar cundo se deben de monitorear y medir.
Monitoreo, medicin, anlisis y monitoreo, reportes de
16 4. Determinar quin debe de monitorear y medir.
evaluacin. operacin y atencin a
5. Determinar cundo se revisaran los resultados de monitoreo.
desviaciones.
6. Quin deber realizar el anlisis y evaluacin de estos resultados.
7. Quin detonar y dar seguimiento a las acciones correctivas.

* Se debe de considerar el servicio ofrecido al contribuyente y su operacin interna.

Monitoreo y
auditora

La organizacin debe realizar auditorias internas por personal interno o externo con las credenciales
adecuadas para la revisin de los controles, los auditores debern tener independencia operativa.

La auditora evaluar el cumplimiento de los objetivos o requerimientos de seguridad de la

informacin que se hayan trazado, lo efectivo y eficaz que hayan implementado los controles de
Auditoras realizadas mediante
17 seguridad de la informacin para gestionar los riesgos. 1 vez al ao como mnimo. Reporte de auditora
personal autorizado y seguimiento
Se deber revisar el cumplimiento de la matriz presente.

Se deber planear, establecer e implementar un plan de auditora, que incluya frecuencia,

seguimiento del resultado de las auditoras y responsable de las actividades.

Seguridad de la Plataforma Tecnolgica

 Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto
con algn material opaco y contar con salvaguardas que impidan que sea abierto o que invaliden la
informacin en caso de que sea forzado, adems de contar por lo menos con las siguientes medidas: Caractersticas del
- Control de Accesos Fsicos y Lgicos (Slo personal autorizado). dispositivo, registro de
- Registro de Hashes de Control. insercin, cambios a los
HSM 18 Proteccin de Llaves y Certificados
- Segregacin de roles con acceso a los dispositivos de almacenamiento de llaves y certificados. certificados, documento de
- Instalacin nica de la llave provista por el SAT (respaldada por un acta firmada por los responsables segregacin de roles,
de su instalacin y custodia). bitcoras.
-Contexto o particin exclusiva para el almacenamiento de los certificados.

Documento en donde se
Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes, especifiqu el mtodo y la
Criptografa 19 Criptografa en servicios expuestos
debern contar con mecanismos de criptografa. Se deber de utilizar un algoritmo de cifrado. criptografa usada en caso de
tener servicios expuestos

El aplicativo debe contar con bitcoras de acceso y uso, que deben contener como mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Folio
- Detalle de la actividad (RFC y detalle como mnimo)

Se debe registrar lo siguiente en la bitcora:

- Registro de intentos de acceso fallidos.
- Registro de accesos exitosos.
- Registro de cierre de sesin ya sea por inactividad o por parte del usuario.
Bitcoras 20 Bitcoras - Registro de consulta de las propias bitcoras. 12 meses en sistema y 5 aos en histrico. Bitcoras, pantallas.
- Registro de errores y/o excepciones.
- Registro de actividad de los usuarios:
a) Registro de Altas, Bajas y cambios.
b) Registro de impresiones.
c) Registro de consultas a documentos.
d) Registro de documentos.

*A nivel base de datos, aplicacin y sistema operativo.

Las bitcoras estn enfocadas al personal administrativo de la aplicacin o servicio.

Acceso a base de Procedimiento de acceso a la base Se debe de especificar un procedimiento por medio del cual el SAT pueda tener acceso a las base de
datos 21 de datos datos de informacin del PSRDD. Documento.

El aplicativo debe contar con sesiones que expiren despus de mximo 10 minutos de inactividad. El
Sesin 22 Expiracin de sesin por inactividad reingreso deber de solicitar de nuevo las credenciales. mximo 10 minutos Pantalla

El aplicativo debe tener aplicada una lnea base de seguridad que debe incluir como mnimo:
- Implementacin de autenticacin de los usuarios (internos o clientes).
- Implementacin de mecanismo de no repudio de transacciones.
- Proteccin contra inyeccin de cdigo
- Inicio de sesin seguro
- Validacin de datos de entrada / salida para evitar errores en el procesamiento de la informacin.
- Manejo de errores. Documento con
- Endurecer el sistema. (Hardening) configuracin y lnea base de
Lnea base de seguridad del aplicativo,
23 Lnea base de seguridad
seguridad Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que listado de activos, versin
dan soporte al proceso de PSRDD deben tener contar con lneas base de seguridad documentadas e del sistema.
implementadas, que consideren como mnimo:
- Proteccin del BIOS en arranque de los sistemas.
- Deshabilitacin de unidades de almacenamiento removibles.
- Instalacin del S.O. en particin exclusiva.
- Inhabilitacin de puertos, protocolos usuarios y servicios innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema operativo.

Debe existir una poltica y procedimientos formal que aseguren el manejo de la informacin y los
datos personales de los Contribuyentes. Los cuales deben estar encriptados tanto en su
almacenamiento, trnsito y medios que los contengan.

Encripcin de Encripcin de Datos de los Deber de existir un procedimiento de resguardo de certificados apegado a las mejores prcticas. Documentos, procedimiento,
24
Datos Contribuyentes mejores prcticas.
Poltica de cifrado de informacin y gestin de las llaves pblicas y privadas.

Se debe de contemplar por lo menos los requerimientos establecidos en el 69 del cdigo fiscal y la
proteccin de datos personales en posesin de terceros del IFAI.

Debern de existir procesos y procedimientos para la gestin de la integridad de la informacin

almacenada y gestionada en servicio.

Implementar un proceso de monitoreo que detalle el mecanismo de control de cambios realizados

Gestin de la
integridad de Implementar controles de sobre la informacin sensible de los contribuyentes y los documentos digitales. Documento de proceso de
25
validacin de integridad de datos gestin de la integridad.
datos
Se debe de validar que la informacin es consistente e integra, que los registros no se pueden
cambiar sin que se generen alertas.

Se debern de implementar medios para validar y mantener la integridad de la informacin.

 Debe existir una poltica y procedimientos para llevar a cabo la validacin de la seguridad del
aplicativo. Considerando las pruebas de seguridad para al menos los siguientes rubros:

A1: SQL Injection

A2: Cross-site Scripting
Validacin de Implementar controles de
seguridad del 26 validacin de seguridad de la A3: Broken Authentication and Session Management Documento con polticas,
A4: Insecure Direct Object Reference procedimientos y reportes.
aplicativo aplicacin.
A5: Cross-site Request Forgery
A6: Security Misconfiguration
A7: Failure to Restrict URL Access
A8: Insufficient Transport Layer Protection
A9: Unvalidated Redirects and Forwards

Debe existir una poltica y procedimientos para llevar a cabo la validacin de los datos ingresados a la
aplicacin, con el fin de identificar y realizar la gestin adecuada. Se deber considerar:

Uso de catlogos
Validacin de entradas
Codificacin de salidas
Validacin y administracin de contraseas. Documento con las polticas
Validacin de Implementar controles de
Administracin de sesin y procedimientos para llevar
datos del 27 validacin de seguridad de datos
Practicas de criptografa a cabo la validacin de los
aplicativo para el flujo de la aplicacin.
Administracin de errores y bitcora. datos ingresados
Proteccin de datos
Seguridad de la comunicacin
Configuracin del sistema
Seguridad en la base de datos
Administracin de archivos
Mejores prcticas de codificacin

Se debe de implementar mecanismos para asegurar que slo el titular de la informacin puede
acceder y consultar la informacin en los sistemas.
La consulta de la informacin ser Documento con
Consulta de
28 para uso exclusivo del titular del procedimiento, pantallas,
informacin No se deber poder acceder a la informacin del contribuyente en cualquier circunstancia. Esto aplica
documento digital. cdigo.
a todos los elementos que participan en la prestacin del servicio. Se deber usar un mtodo de
autenticacin con FIEL o certificado de sello del contribuyente

Se deber registrar y reportar niveles de servicio de la aplicacin. Se debe de contar con un

Niveles de Deber mantenerse y registrarse los procedimiento documentado de cmo se captura y reportan los Niveles de Servicio.
29 Mensual Reporte.
Servicio niveles de servicio Se deber generar un reporte con los Niveles de Servicio de forma mensual. El mnimo requerimiento
de nivel de servicio es del 99.3% mensual.

Debe de existir un procedimiento para la consulta en lnea de bitcoras del aplicativo, el cual deber
de tener controles de seguridad as como implementacin de mejores prcticas de seguridad.
(Documento)

-----------Funcionalidad------------
La aplicacin deber poder acceder a:

1- Bitcora del aplicativo.

2- Bitcora de la base de datos.
3- Bitcora del sistema operativo.
4- Niveles de Servicio
--------------Formatos---------------
Se debe entregar un reporte respetando la nomenclatura del nombre de la siguiente forma:

-Tipo de servicio (PSRDD)

Implementar un medio de consulta -Tipo de bitcora (AP, BD, OS, SL) Procedimiento de acceso y
Consulta SAT 30 para el SAT, se deber de poder -RFC del contribuyente a doce posiciones (persona moral acreditada) Diario
reportes.
acceder a consultar los bitcoras. -Ejercicio (ej. 2014)
-Mes del ejercicio a dos posiciones (ej. Enero 01)
-Consecutivo de archivo a tres posiciones (ej. 001, 201)
Ejemplo: PSRDDAPXXXX761015XY201401001

*Se deben utilizar letras maysculas y sin acentos.

Los registros del bitcora debern considerar lo siguiente (lnea por registro):

- Fecha y hora.
- Usuario.
- IP origen.
- Folio
- Detalle de la actividad

*Se deber poder descargar la informacin en formato CSV.

Se debe de implementar un procedimiento que registre y monitorea la actividad de cada equipo que
Prevencin de interviene o tiene contacto con la operacin del servicio, a fin de evitar el uso indebido o perdida de Procedimiento, pantallas,
31 Prevencin de Prdida de Datos la informacin. Diario bitcoras, reglas,
Perdida de Datos
herramienta.
Ej. Acceso a archivo, copias, impresiones, etc.