Matriz de C

ID
Área de Control Sub-área de Control Control Control

Postura de la Empresa sobre la Seguridad de la Información

1 Política de Seguridad de la
Política de Información
Seguridad de la
Información

2 Revisión de Política de
Seguridad de la Información

3 Compromiso de la Dirección

4 Acuerdos de Confidencialidad
y/o no divulgación

Organización
Interna
 5 Contacto con las Autoridades

Organización
Interna

6 Contacto con Grupos de

Interés Especial

7 Revisión Independiente de la
Seguridad de la Información
 8 Política de Clasificación de
la Información

Clasificación de la
Información

Etiquetado y Manejo de la
9 Información

Seguridad en el Personal
 10 Selección del Personal

Personal Interno
11 Responsabilidades del
Personal Interno

Capacitación del Personal en

12 materia de Seguridad de la
Información

Identificación de Riesgos
13
inducidos por terceros

Personal Externo

14 Responsabilidades del
Personal Externo
 15 Uso de contraseñas

Responsabilidades
de los Usuarios

16 Equipo desatendido

Escritorio limpio y pantalla

17 despejada
 18 Eliminación de Derechos de
Acceso

Terminación del
Empleo

19 Devolución de Activos

20 Responsabilidades del
personal dado de baja

Gestión de los Activos

21 Inventario de Activos

22 Propiedad de los activos

Gestión de los
Activos
 Gestión de los
Activos

23 Uso aceptable de activos

Seguridad Física en Oficinas

Perímetro de Seguridad
24 Física
Seguridad Física
25 Controles de Entrada

Procesos de Gestión de la Seguridad

26 Análisis de Riesgos
Gestión de Riesgos

27 Mitigación de Riesgos
 28 Incidentes y Problemas

Manejo de
Incidentes y
Problemas

29 Protocolos de comunicación
en caso de incidentes

30 Notificación al SAT

31 Definición y registro de
Eventos de Seguridad

Monitoreo de
Seguridad
 32 Bitácoras de Eventos
Monitoreo de
Seguridad

Monitoreo Activo de la
33 Seguridad

34 Cumplimiento de políticas y
procedimientos

Revisión del
Cumplimiento Derechos de propiedad
35 intelectual

36 Propiedad de la información

37 Remediación de
incumplimientos

Plan de Continuidad del

38 Negocio (BCP)

BCP
 39 Pruebas de BCP

40 Capacidad Tecnológica

Gestión de la
Capacidad

41 Capacidad Operativa

Seguridad de la Plataforma Tecnológica

 42 Plan de Recuperación de
Desastres

DRP

43 Pruebas del DRP

 Política de Control de
44
Accesos

Control de Accesos
Lógicos Locales y
Remotos Altas, Bajas y Cambios de
45 Accesos de Usuarios

46 Gestión de Privilegios
 47 Gestión de Contraseñas de
Usuarios

48 Revisión de Permisos

Ubicación del Centro de

49 Datos e infraestructura en
la nube

50 Control de Accesos Físicos

Seguridad Física
Seguridad Física

51 Vigilancia y Monitoreo

52 Señalización

53 Medidas contra Incendios

Controles
Ambientales 54 Aire Acondicionado

55 Medidas contra Inundaciones

56 Instalación Eléctrica

Servicios de
Soporte
 Servicios de
Soporte

Planes y Contratos de
57 Mantenimiento

58 Prevención y Detección de
Intrusos

Comunicaciones
59 Protección Perimetral

60 Segmentación de Redes

61 Líneas Base de Seguridad

Líneas Base de
Seguridad
(Endurecimiento y
Actualización)

62 Actualizaciones
 63 Respaldos

64 Pruebas de Respaldos
Respaldos

Protección de Medios de
65 Respaldo

66 Etiquetado

Gestión de Medios
de Almacenamiento

67 Destrucción o Borrado

68 Criptografía en servicios
expuestos
 Protección de Llaves y
69 Certificados utilizados para
el timbrado de CFDI

Criptografía

70 Gestión de llaves

71 Pruebas de Seguridad

Seguimiento a hallazgos de
72 pruebas de Seguridad

Pruebas de
seguridad y
software dedicado
 Pruebas de
seguridad y
software dedicado

73 Uso de software para

monitoreo de la seguridad

Protección Contra 74 Protección contra Código

Código Malicioso Malicioso

75 Separación de Ambientes

Separación de
Ambientes
Aislamiento de información
76 de CFDI

77 Documentación

78 Control de Accesos

79 Control de Cambios

80 Bitácoras

Seguridad en
Aplicativo
 Seguridad en
Aplicativo

81 Repositorio

Expiración de sesión por

82 inactividad

83 Línea base de seguridad

Transaccionalidad 84 NTP
 Encripción de Datos de los
Encripción de Datos 85 Contribuyentes y de
información de CFDI

Cumplimiento Legal y Regulatorio

Cumplimiento con
Leyes y 86 Conocimiento de Leyes y
Regulaciones Regulaciones Aplicables
Aplicables

Los presentes controles de seguridad serán aplicables a aspirantes y empres

esquemas y servicios en la nube:
-Nube privada
-Nube híbrida
-IaaS
Nota: Para efectos de la presente matriz, se entiende por:
Dirección de la empresa: Los máximos responsables del cumplimiento de los o
Seguridad de la información: Capacidad de preservar la confidencialidad, in
Cifrado: Protección de información mediante codificación para evitar el acc
Propietario del activo: Persona o entidad que toma decisiones sobre el acti
Matriz de Controles para la Revisión de Seg
Interpretación del Control

ión

La empresa deberá contar con un documento de Política de Seguridad de la

Información autorizado, publicado y disponible para el personal interno
y terceros que colaboren con la empresa

El documento de Política de Seguridad de la Información deberá ser

revisado periódicamente, (por lo menos cada 6 meses).

La Dirección de la empresa deberá apoyar activamente la seguridad de la

información y demostrar su compromiso al respecto.

La empresa debe tener acuerdos de confidencialidad y/o acuerdos de no

divulgación firmados por la empresa para con el SAT (excepto
aspirantes), por el personal interno y externo, deben ser revisados de
manera periódica (al menos cada 6 meses).
La empresa debe contar con procedimientos formales para mantener
contacto con las autoridades y permitir investigaciones por parte de
las mismas.

La empresa debe estar en contacto con grupos especializados en seguridad

y/o asociaciones profesionales

La empresa debe realizar revisiones independientes de la Seguridad de la

Información.
La empresa debe contar con una política y procedimientos formales para
la clasificación de la información de acuerdo a su relevancia o
sensibilidad y en cumplimiento a las disposiciones del INAI.

Ver el área de control "Cumplimiento Legal y Regulatorio.

La empresa debe contar con procedimientos formales para etiquetar y

manejar la información tanto en formato electrónico como en formatos
físicos de acuerdo a su clasificación.
Se debe llevar a cabo la verificación de antecedentes de todos los
candidatos a puestos internos de la empresa.

Se deben formalizar las responsabilidades del personal interno con

respecto a la seguridad de la información durante la contratación y ante
cambios en las actividades del personal.

El personal interno debe recibir una capacitación en materia de

Seguridad de la Información y uso de servicios en la nube al inicio de
sus labores en la empresa y de manera periódica (por lo menos cada 12
meses).

Se deben identificar los riesgos inducidos por terceros a la información

y los medios de procesamiento de información de la empresa.

Se deben formalizar las responsabilidades del personal externo con

respecto a la seguridad de la información.
La empresa debe contar con una política de uso de contraseñas, donde se
especifique la responsabilidad de los usuarios en el uso de las mismas,
caducidad, protección de las mismas, etc.

La empresa debe contar con una política de equipo desatendido, donde se

especifique los requerimientos de seguridad para el equipo cuando el
usuario no está presente.

La empresa debe contar con una política de Escritorio limpio y pantalla

despejada, donde se especifiquen los requerimientos de seguridad para
los puestos de trabajo.
La empresa debe contar con una política y procedimientos para llevar a
cabo la eliminación de accesos lógicos y físicos en el personal interno
o externo que ya no labore en la empresa o que haya cambiado sus
actividades en la empresa.

La empresa debe contar con procedimientos para la devolución de los

activos que el personal tuvo asignado mientras laboraba para la empresa
o ante cambios en sus actividades en la empresa.

Se deben revisar los contratos y acuerdos de confidencialidad para

garantizar que el personal dado de baja cumplió y cumple sus
obligaciones respecto a la confidencialidad de la información a la que
tuvo acceso durante su estancia en la empresa.

Todos los activos en la nube y físicos que dan soporte al proceso de

CFDI deben estar claramente identificados. Se debe elaborar y mantener
un inventario actualizado de todos los activos de la empresa.

Toda la información y los activos asociados con los medios de

procesamiento de la información e infraestructura en la nube y físicos
deberán contar con propietarios y responsables designados por la
empresa.
La empresa debe contar con una política y procedimientos para
identificar, documentar e implementar las reglas para el uso aceptable
de la información y los activos asociados.

Se deberá contar con perímetros de seguridad (barreras tales como

paredes y puertas de ingreso controlado, policías o recepcionistas) para
proteger áreas operativas y de oficina que contienen información de la
empresa.
Se deben proteger las áreas seguras mediante controles de entrada
apropiados para asegurar que sólo se permita acceso al personal
autorizado.

Se deberá contar con un análisis de riesgos sobre el proceso de CFDI,

que deberá abarcar como mínimo:
- Identificación de los Activos que soportan el proceso de CFDI
- Identificación de Amenazas
- Identificación de Vulnerabilidades
- Estimación de los Riesgos
- Clasificación de Riesgos
- Reporte de riesgos encontrados

Se deberá realizar un plan de mitigación para los riesgos encontrados

como prioritarios en el análisis de Riesgos.
La empresa debe contar con una política y procedimientos para la Gestión
de Incidentes de Seguridad en el proceso de CFDI, que considere como
mínimo:

- Identificación de Incidentes y Problemas

- Registro de Incidentes y Problemas
- Notificación y escalamiento de Incidentes y Problemas
- Seguimiento de Incidentes y Problemas

El proveedor de infraestructura on premise o servicios en la nube debe

de contar con protocolos de notificación en caso de incidentes.

La empresa deberá contar con procedimientos de notificación al SAT en

caso de Incidentes o problemas que puedan comprometer la información de
los Contribuyentes o en su caso información de implementación de la
comunicación con el SAT.

La empresa deberá definir aquellos eventos de seguridad que van a

monitorear, de acuerdo a su análisis de riesgos, considerando como
mínimo lo siguiente:
- Uso de cuentas privilegiadas.
- Acceso a información con clasificación alta de confidencialidad.
La empresa deberá implementar la creación y resguardo de bitácoras donde
se almacenen los eventos de seguridad relevantes. Las bitácoras deben
ser resguardadas en un lugar seguro por lo menos durante 6 meses. Las
bitácoras de eventos deben tener acceso controlado sólo a personal
autorizado y se debe guardar un registro de la consulta de las mismas.

La empresa debe contar con procedimientos de monitoreo de los eventos de

seguridad de los activos involucrados en el proceso de CFDI, con la
finalidad de identificar los eventos de seguridad relevantes que ocurran
en ellos

La empresa deberá realizar revisiones periódicas (por lo menos cada 6

meses) para verificar que la operación de la empresa cumple con lo
estipulado en las políticas y procedimientos requeridos en este
documento. El personal que realice las auditorías debe ser independiente
a quien implementa los controles

La empresa deberá implementar procedimientos que garanticen el

cumplimiento de los requisitos legales y contractuales para el uso de
productos de paquetería propietaria.
La empresa debe asegurarse que la información relacionada con la
prestación del servicio de timbrado de CFDI es de su propiedad cuando
contrate servicios de centros de datos o servicios en la nube,
incluyendo ubicaciones fuera del territorio nacional.

La empresa debe realizar un plan de remediación de los incumplimientos

detectados en la revisión del cumplimiento de políticas, procedimientos,
obligaciones contractuales, privacidad y protección de datos personales.

La empresa deberá contar con un BCP documentado y aprobado.

La empresa debe contar con un plan de ejecución de pruebas del BCP por
lo menos cada 12 meses.

Se debe planear, monitorear, y ajustar el uso de recursos tecnológicos

(software, equipos, comunicaciones, etc.) para asegurar el desempeño
requerido por los sistemas que dan soporte al proceso de CFDI por lo
menos durante 12 meses.
Se debe dar cumplimiento a las medidas necesarias identificadas durante
la planeación y monitoreo.

Se debe planear, monitorear, y ajustar el uso de recursos operativos

(personal, herramientas, espacios) para asegurar el desempeño requerido
por los sistemas que dan soporte al proceso de CFDI por lo menos durante
12 meses.
Se debe dar cumplimiento a las medidas necesarias identificadas durante
la planeación y monitoreo.
La empresa debe contar con un plan de recuperación de desastres para su
centro de datos e infraestructura en la nube que incluya por lo menos
los activos necesarios para el funcionamiento del proceso de CFDI.

La empresa debe contar con un plan de pruebas del DRP.

La empresa debe tener una política y procedimientos formales de Control
de Accesos que aplique por lo menos a todos los activos que dan soporte
al proceso de CFDI, misma que debe ser revisada y actualizada por lo
menos cada 6 meses.

La empresa deberá documentar procedimientos formales para las Altas,

Bajas y Cambios de accesos de usuarios, que incluyan como mínimo:

- Bloqueo de las cuentas por intentos fallidos de autenticación.

- Bloqueo de cuentas por periodo de inactividad.

Los accesos remotos sólo se deberán proporcionar bajo circunstancias de

excepción y con un estricto proceso de autorizaciones y monitoreo.

La empresa deberá contar con procedimientos formales para restringir y

controlar la asignación y uso de los privilegios.
La empresa deberá contar con procedimientos formales de asignación de
contraseñas, que incluyan como mínimo:

- Reglas para la creación de contraseñas (longitud mínima, histórico,

caracteres permitidos, entre otros)
- Las contraseñas se deben encriptar en todos los activos que dan
soporte al proceso de CFDI.

La empresa debe realizar periódicamente (por lo menos cada 6 meses) una

revisión de los usuarios existentes en los sistemas de información y
activos, para verificar que sus permisos sigan siendo vigentes de
acuerdo al procedimiento de altas o cambios de Accesos de Usuarios.

El centro de datos debe estar asentado en lugares libres de altos

riesgos, por lo menos a100m de lugares como gasolineras, gaseras, minas,
acometidas de cableado de electricidad y gas, entre otros y como una
instalación no evidente.

La empresa debe contar con contratos con proveedores en la nube vigentes

relacionados con el proceso de CFDI

El centro de datos debe estar protegido por un perímetro de acceso

físico controlado, controles de acceso automatizados y procedimientos
formales de control de accesos. El personal que acceda al centro de
datos no deberá introducir medios de almacenamiento extraíbles sin
autorización. Las bitácoras de acceso deberán resguardarse en un lugar
seguro.

La empresa debe comprobar que el proveedor de nube cuenta con los

controles a los que se refiere el párrafo anterior.
El centro de datos debe contar con personal de vigilancia las 24 horas y
un sistema de monitoreo de las instalaciones (CCTV, entre otros).
El sistema de monitoreo debe almacenar los videos de vigilancia con
historial de por lo menos 30 días y almacenarlos en un lugar seguro,
fuera de las instalaciones principales.
El personal debe estar debidamente capacitado y contar con las
herramientas necesarias para responder en caso de emergencias.

Las instalaciones deben contar con señalamientos que indiquen

claramente:

- Áreas de acceso restringido.

- Rutas de evacuación.
- Ubicación del equipo de emergencia.

El centro de datos debe contar con medidas de protección contra

incendios

El centro de datos debe contar con un sistema de aire acondicionado

El centro de datos debe contar con medidas de protección contra

inundaciones

El centro de datos debe contar con medidas de seguridad en el cableado y

medidas de respaldo de energía de emergencia.
La infraestructura eléctrica debe revisarse por lo menos cada 6 meses
para garantizar su buen funcionamiento
El centro de datos debe contar con planes de mantenimiento, contratos
vigentes con proveedores de los medios y dispositivos de controles
ambientales y servicios de soporte (plantas de luz, UPS, entre otros)

Las redes dentro del centro de datos deben contar con dispositivos de
prevención o detección de Intrusos.

La red debe estar protegida con dispositivos de seguridad que apliquen

listas de control de acceso.

Las redes deben estar segmentadas para proteger el flujo de información

en redes con distintos tipos de usuarios.

Los activos (aplicativos, servidores, bases de datos, dispositivos de

red, entre otros) del centro de datos que dan soporte al proceso de CFDI
deben contar con líneas base de seguridad documentadas e implementadas,
que consideren como mínimo:

- Protección del BIOS en arranque de los sistemas.

- Inhabilitación de unidades de almacenamiento removibles.
- Instalación del S.O. en partición exclusiva.
- Inhabilitación de puertos, protocolos usuarios y servicios
innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema
operativo.

Los activos que dan soporte al proceso de CFDI deben contar con los
últimos parches de seguridad y actualizaciones emitidas por el
fabricante de los servidores y sistemas operativos que hayan pasado por
un procedimiento de pruebas previas a la implementación
Se deben generar respaldos de los activos y la información que dan
soporte al proceso de CFDI, con la periodicidad definida por la empresa.

Se deberá contar con un plan de pruebas de los respaldos para verificar

que son funcionales

Los medios donde se almacenan los respaldos deberán estar protegidos en

un área específica para tal efecto, en medios encriptados y con
medidas de protección contra el acceso no autorizado.

Los medios donde se almacene información de los contribuyentes y del SAT

deberá estar inventariada y etiquetada con el nivel más alto de
confidencialidad definido en el proceso de clasificación de información,
y se deberá dar el tratamiento de acuerdo a su clasificación.

Los medios donde se almacenen respaldos o información de los

contribuyentes o del SAT deberán estar sujetos a un procedimiento formal
de destrucción o borrado seguro en caso de disposición o reutilización.

Los servicios del aplicativo que se encuentren expuestos para el consumo

por parte de los clientes, deberán contar con mecanismos de
criptografía.
Las llaves y certificados usados para el cifrado deben estar protegidos
por un dispositivo recubierto con algún material opaco y contar con
salvaguardas que impidan que sea abierto o que invaliden la información
en caso de que sea forzado algún mecanismo de seguridad (HSM Fips-140-2
Nivel 3).

La empresa debe contar con un procedimiento de gestión de los

dispositivos que almacenan la llave privada del Certificado de Sello
Digital (CSD) otorgado por el SAT.

Se deben realizar, documentar y dar seguimiento a pruebas de seguridad

en los activos que dan soporte al proceso de CFDI al igual que al propio
aplicativo de CFDI.

Se debe realizar un plan para atender los hallazgos detectados durante

las pruebas de seguridad.
Se debe mantener un registro permanente de las herramientas utilizadas
para el monitoreo de la seguridad.

Todos los activos tecnológicos que dan soporte al proceso de CFDI

deberán contar con una solución de protección contra código malicioso
instalada y actualizada.

Los ambientes de desarrollo, pruebas y producción deben estar separados

física o lógicamente unos de otros y todos deben tener su propia
administración de accesos.

La información del proceso de CFDI debe estar separada física o

lógicamente de la información de otros procesos o aplicativos
proporcionados por la empresa.

El aplicativo de CFDI debe contar con documentación técnica completa,

así como la documentación del proceso de CFDI.

La documentación técnica debe incluir como mínimo:

- Flujo de Datos
- Modelo y Diccionario de Datos
- Diagrama de implementación

El aplicativo debe contar con control automatizado de accesos, de

acuerdo a las políticas y procedimientos de control de accesos definidos
por la empresa.

El aplicativo debe contar con un proceso de control de cambios, que

deberá incluir como mínimo:
- Estimación de impacto de cambios
- Pruebas
- Autorización
- Liberación de cambios
- Reversos de cambios

El aplicativo debe contar con bitácoras de acceso y uso, que deben

contener como mínimo:

- Fecha y hora.
- Usuario.
- IP origen.
- Registro de intentos de acceso fallidos.
- Registro de accesos exitosos.
- Registro de actividad de los usuarios.
- Registro de cierre de sesión ya sea por inactividad o por parte del
usuario.
- Registro de consulta de las propias bitácoras.
- Registro de errores y/o excepciones.
Se debe contar con un repositorio de registros de todos los activos
(tangibles y no tangibles) relacionados con el proceso de CFDI .

El aplicativo debe contar con sesiones que expiren después de 10 minutos

de inactividad.

El aplicativo debe tener aplicada una línea base de seguridad que debe
incluir como mínimo:

- Implementación de autenticación de los usuarios (internos o clientes).

- Implementación de mecanismo de no repudio de transacciones.
- Protección contra inyección de código
- Inicio de sesión seguro
- Validación de datos de entrada / salida para evitar errores en el
procesamiento de la información.
- Manejo de errores.

Las transacciones del proceso de CFDI deben estar sincronizadas usando

un servidor de NTP sincronizado con GPS.
 Debe existir una política y procedimientos que aseguren que la
información de CFDI y los datos personales de los Contribuyentes deben
estar encriptados tanto en su almacenamiento, tránsito y medios que los
contengan.

El representante legal del Aspirante a PAC debe presentar un documento

donde afirme que conoce y respetará el apego a las leyes aplicables
vigentes.
El aspirante deberá indicar que conoce su responsabilidad de verificar
el cumplimiento con dichas leyes.
El aspirante deberá indicar que exime al SAT de cualquier
responsabilidad derivada del incumplimiento de las leyes aplicables.

les a aspirantes y empresas autorizadas que utilicen infraestructura on premise o servicios en la nu

nde por:
del cumplimiento de los objetivos de la empresa.
r la confidencialidad, integridad y disponibilidad de la información de los contribuyentes, así como
cación para evitar el acceso no autorizado (Sinónimo de encripción).
decisiones sobre el activo.
isión de Seguridad para PCCFDI
Periodicidad / Parámetro Requerido

6 meses

6 meses
12 meses
6 meses

6 meses
12 meses

12 meses

12 meses
6 meses
6 meses

100m
30 días

6 meses
definida por la empresa
10 minutos
remise o servicios en la nube para la prestación parcial o total del proceso de CFDI, los controles

os contribuyentes, así como la autenticidad, confiabilidad, trazabilidad y no repudio de la misma.

dad para PCCFDI
Guía de cumplimiento

El documento denominado política de seguridad de la información deberá contener los

elementos siguientes:

-Firmas del representante o apoderado legal (autógrafa o e-firma) o quienes fungen como
responsables del cumplimiento de los objetivos de la empresa.
-Definición de seguridad de la información de la empresa; es decir, una descripción del
como la empresa concibe la seguridad de la información.
-Marco de referencia de seguridad de la información utilizado por la empresa.
-Normatividad y legislación vigente aplicable a la empresa respecto a la seguridad de la
información.
-Roles y responsabilidades de la seguridad de la información, tales como: Matriz de
asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
- Medidas disciplinarias en caso de incumplimientos a la política.
-Lineamientos para asegurar la Confidencialidad, Integridad y Disponibilidad de la
información ubicada en la infraestructura del proveedor de servicios en la nube.
-Aspectos contractuales de seguridad de la información para proveedores tales como:
Cláusulas de confidencialidad, cláusulas de auditoría de servicios y cláusulas de seguridad
de la información, cláusulas de patente, marcas y derechos de autor, transferencia de
derechos y obligaciones contenidas en los contratos suscritos por el proveedor autorizado
con terceros para la prestación del proceso de CFDI.

Para acreditar que la política de seguridad de la información está publicada y disponible

deberá entregar cualquiera de los siguientes elementos: Capturas de pantalla de
disponibilidad en intranet, o publicación en áreas comunes, o en medio de difusión internos
para proveedores o correos electrónicos de comunicación de la política.
El documento denominado política de seguridad de la información deberá contener periodos
programados de al menos 6 meses y en su caso extraordinarios para la revisión y
actualización del documento.
Los cambios en el documento deberán ser resaltados con control de cambios dentro de la
política.
El documento denominado política de seguridad de la información deberá contener un apartado
que describa el compromiso y participación activa de la alta dirección con la seguridad de
la información, tales como presupuestos o planes de actividades o autorizaciones de egresos
o cualquier otro elemento comprobatorio formal que demuestre el compromiso de ésta con la
seguridad de la información.
La empresa deberá presentar una muestra de los "acuerdos de confidencialidad o de No
divulgación" con firmas autógrafas o firmas electrónicas avanzadas, suscritos entre la
empresa y personas físicas o morales involucradas en el proceso de CFDI internas o externas
(incluyendo a proveedores de servicios en la nube) y con el SAT, dicha muestra será
revisada por el personal verificador del SAT.
Estos "acuerdos de confidencialidad o de no divulgación" deben contener claramente las
responsabilidades de confidencialidad entre la empresa y la persona física o moral
involucrada en el proceso de CFDI.

-Los acuerdos de confidencialidad deben ser revisados cada 6 meses por la empresa para
realizar las actualizaciones que correspondan; dichos cambios deben ser documentados en el
control de versiones del documento.

-De conformidad con la Ley Federal de Protección de Datos Personales, en los Acuerdos de
Confidencialidad se debe prever que las personas que intervengan en cualquier fase del
tratamiento de datos personales deberán guardar confidencialidad respecto de éstos,
obligación que subsistirá aun después de finalizar la relación con el Proveedor
autorizado.
El documento denominado procedimiento de contacto con las autoridades deberá contener los
elementos siguientes:
-Firmas de Autorización del documento.
-Roles y responsabilidades del personal de la empresa para contactar a las autoridades.
-Números telefónicos o correos electrónicos o algún otro medio de contacto directo con la
autoridad en caso de actos delictivos, actos vandálicos, fugas de componentes inflamables,
fuga de agua e incidentes en instalaciones eléctricas.
-Protocolo de contacto para cada autoridad y protocolos alternos en caso de existir
problemas para contactar a las autoridades.
-Deberá existir un apartado en el que la empresa declare que permitirá que las autoridades
competentes realicen investigaciones de acuerdo a sus facultades.

La empresa debe tener acceso continuo a información relevante respecto a la seguridad

informática y seguridad de la información tales como: Listas de correo o comprobantes de
suscripciones a sitios especializados en seguridad informática y de la información o
comprobantes de membresías a grupos especializados en seguridad informática y de la
información o diplomas de participación en eventos de seguridad informática y de la
información al menos cada 6 meses.
Debe contar con procedimientos documentados para analizar la información e implementar
mejoras en el proceso de CFDI de ser necesario.

La empresa deberá presentar el último reporte de verificación de seguridad de la

información realizado, el reporte deberá contener los elementos siguientes:

-Marco de referencia utilizado

-Metodología utilizada
-Descripción detallada de las actividades realizadas
-Indicar las observaciones o incumplimientos identificadas.

El documento no debe tener más de 12 meses de antigüedad.

La empresa deberá documentar los planes de seguimiento a los hallazgos en el reporte,
definir fechas de inicio y finalización de las actividades, así como documentar los
resultados obtenidos.
Nota: Las verificaciones y los reportes de verificación de seguridad de la información
pueden ser realizados por personal interno o externo, en caso de realizarse por personal
interno, éste debe ser independiente al diseño e implementación de los controles que se
consideren en el alcance de la verificación.
El documento denominado política de clasificación de la información deberá contener los
elementos siguientes:
-Firmas de la alta dirección quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de la clasificación de la información de la empresa; es decir, una descripción
de como la empresa concibe dicho concepto.
-Normativa y legislación vigente aplicable a la empresa para la clasificación de la
información (Debe considerarse la Ley Federal de Protección de Datos, entre otras).
-Roles y responsabilidades para la clasificación de la información, tales como: Matriz de
asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
- Medidas disciplinarias en caso de incumplimientos a la política.
-Aspectos de clasificación de la información para proveedores tales como:
Directrices de clasificación de información para terceros
Cláusulas de clasificación de información
Manuales de clasificación de información para proveedores
-Periodos programados y extraordinarios para revisión del documento.
El documento denominado procedimiento de clasificación de la información deberá contener
los elementos siguientes:
-Firmas de Autorización del documento.
-Formatos de clasificación de información física y digital.
-Protocolo de clasificación de información de acuerdo a la política de clasificación de
información.
-Roles y responsabilidades para la clasificación de la información, tales como: Matriz de
asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
Nota: Se deberán entregar ambos documentos.

Para acreditar que la política de clasificación de la información esta publicada y

disponible deberá entregar evidencia tales como: Capturas de pantalla de disponibilidad en
intranet o publicación de la política en áreas comunes o publicación en medio de difusión
internos y para proveedores o correos electrónicos de comunicación de la política.

El documento denominado procedimiento de etiquetado de la información deberá contener los elementos siguientes:

-Firmas de Autorización del documento.

-Descripción de los formatos físicos y digitales utilizados para el etiquetado de información.
-Responsabilidades del etiquetado de la información (física y digital), tales como: Matriz RACI u organigrama con
descripción de funciones o listado de puestos y detalles de actividades.
-Controles de seguridad para el etiquetado de información de conformidad con la política de clasificación de la
información.

El documento denominado procedimiento de manejo de activos debe contener los elementos siguientes:

-Firmas de Autorización del documento.

-Responsabilidades del manejo de información, tales como: Matriz RACI u organigrama con descripción de funciones o
listado de puestos y detalles de actividades.
-Mecanismos de protección para el manejo de información física y electrónica.
-Ubicaciones físicas y lógicas para el almacenamiento de información física y electrónica.
-Rutas seguras para el manejo de información física y electrónica.
Nota: Se deberán entregar ambos documentos.
El documento denominado procedimiento de selección de personal deberá contener los
elementos siguientes:

-Firmas de Autorización del documento.

-Incluir un apartado que describa las pruebas que se realizarán al personal de acuerdo al
perfil a cubrir, tales como: Examen psicométrico o pruebas de conocimiento o entrevistas
con personal especializado.
-Descripción de la verificación y detección de antecedentes y posibles incidentes que
puedan representar un riesgo para los contribuyentes y la empresa.
Para acreditar el control la empresa debe presentar los contratos que contengan cláusulas
contractuales que establezcan las obligaciones del personal interno respecto a la seguridad
de la información o descripción de puestos internos donde se describan las
responsabilidades de seguridad de la información de acuerdo al perfil o anexos de los
contratos del personal de la empresa donde se describan las responsabilidades en la
materia.

Se deberán incluir y comunicar los términos y condiciones de contratación durante la

contratación y ante cambios en las actividades del personal.
La empresa debe presentar documentación de capacitación provista al personal involucrado en
el proceso de CFDI en los últimos 12 meses, tales como: Minutas de participación o planes
de concientización y listas de asistencia o contratos con empresas de concientización en
materia de seguridad de la información o cualquier otro documento que permita determinar la
fecha de realización de la capacitación, el personal que recibió la información y las
competencias del personal que imparte las sesiones.

El documento denominado análisis de riesgos de terceros deberá contener los elementos

siguientes y tener como alcance al menos el proceso de CFDI:

-Definición de riesgo de la empresa; es decir, una descripción del como la empresa concibe
dicho concepto.
-Marco de referencia para la gestión de riesgos.
-Ciclo de vida de la gestión de riesgos.
-Roles y responsabilidades para la gestión de riesgos (identificación, clasificación,
tratamiento, evaluación, entre otros), tales como: Matriz RACI u organigrama con
descripción de funciones o listado de puestos y detalles de actividades.
-Metodología para identificación de riesgos.
-Clasificación de riesgos definido por la empresa, tales como: Bajo, medio, alto o crítico,
moderado, nulo o cualquier otro tipo de identificadores definidos por la empresa de acuerdo
al marco de referencia utilizado.
-Análisis de impacto al negocio* (orientado al proceso de CFDI)
-Listado de riesgos inducidos por terceros identificados por la empresa (incluyendo
proveedores de servicios en la nube).
-Priorización de mitigación de riesgos.
-Planes de mitigación de riesgos (debe contener las actividades, fechas y resultados
esperados).
*BIA - Business Impact Analisys.

NOTA: El análisis de riesgos de terceros puede ser integrado en el documento análisis de

riesgos.

Para acreditar el control la empresa deberá presentar contratos, o anexo técnico, o

documentos formales, o convenios con el proveedor de servicios en la nube y cualquier otro
proveedor o personal ajeno a la empresa en los que se describan las responsabilidades del
personal externo respecto a la seguridad de la información y descripción de puestos
externos donde se describan las responsabilidades de seguridad de la información de acuerdo
al perfil; o anexos a los contratos con proveedores de la empresa donde se describan dichas
responsabilidades.
Se deberán incluir cláusulas de auditoría para la contratación de servicios con proveedores
de servicios en la nube contratado (IAAS; nube pública, privada, híbrida, entre otros) y
cualquier otro proveedor de servicios de la empresa.
El documento denominado política de uso de contraseñas, deberá contener los elementos
siguientes:
-Firmas de la alta dirección, o de quienes funjan como responsables del cumplimiento de
los objetivos de la empresa.
-Definición de uso de contraseñas de la empresa; es decir, una descripción del como la
empresa concibe dicho concepto.
-Roles y responsabilidades para el uso de contraseñas, tales como: Matriz de asignación de
responsabilidades u organigrama con descripción de funciones o listado de puestos y
detalles de actividades.
-Sistemas de información y software contemplado en la política.
-Lineamientos para definir la longitud y composición de contraseñas.
- Medidas disciplinarias en caso de incumplimientos a la política.
-Aspectos de uso de contraseñas para proveedores tales como:
Cláusulas, descripción o anexos para el uso de contraseñas.
-Se deberán contemplar lineamientos más robustos para contraseñas de cuentas privilegiadas
y de acceso a servicios en la nube.
-Disposiciones para almacenar las contraseñas en los sistemas de la empresa, de tal forma
que no sean almacenadas en texto plano.

El documento denominado política de equipo desatendido, deberá contener los elementos

siguientes:
-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de uso de equipo desatendido de la empresa; es decir, una descripción del como
la empresa concibe dicho concepto.
-Roles y responsabilidades de los usuarios respecto al equipo desatendido, tales como:
Matriz de asignación de responsabilidades u organigrama con descripción de funciones o
listado de puestos y detalles de actividades.
-Lineamientos para establecer las condiciones de seguridad en equipos desatendidos.
-Requerimientos de seguridad para el equipo cuando el usuario no está presente como
protocolos de cierre de sesión o finalización de actividades o de suspensión de
actividades.
-Medidas disciplinarias en caso de incumplimientos a la política.
-Roles y responsabilidades para el personal externo que tengan acceso a equipos que cuenten
con acceso a información de CFDI, tales como: Matriz de asignación de responsabilidades u
organigrama con descripción de funciones o listado de puestos y detalles de actividades.
El documento denominado política de escritorio limpio, deberá contener los elementos
siguientes:
-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de uso de escritorio limpio de la empresa; es decir, una descripción del como
la empresa concibe dicho concepto.
-Roles y responsabilidades de los usuarios para mantener el escritorio limpio, tales como
directrices o listas de artículos permitidos, restringidos y prohibidos o protocolos de
limpieza en áreas de trabajo.
-Lineamientos para asegurar que las áreas de trabajo se encuentren libres de documentos con
información sensible, información de autenticación, medio de almacenamiento extraíbles y
evitar colocar información sensible en la pantalla de inicio de la sesión del usuario
(escritorio); lo anterior aplicable a personal interno y proveedores.
-Sanciones o penalizaciones, y excepciones en caso de identificarse situaciones no
contempladas en la política.
El documento denominado política de eliminación de derechos de acceso, deberá contener los
elementos siguientes:
-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de eliminación de derechos de acceso de la empresa; es decir, una descripción
del como la empresa concibe dicho concepto.
-Roles y responsabilidades para la eliminación de derechos de acceso, tales como: Matriz de
asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
-Listado de sistemas de información y software contemplado en la política.
-Lineamientos para inhabilitar los derechos de acceso del personal interno y externo a los
sistemas, redes, servicios de red y de servicios en la nube.
-Medidas disciplinarias en caso de incumplimientos a la política.
-Protocolos para la autorización de eliminación de derechos de acceso a personal interno y
externo.
El documento denominado procedimiento de eliminación de derechos de acceso, deberá contener
los elementos siguientes:
-Firmas de Autorización del documento.
-Protocolo de inhabilitación de derechos de acceso de personal interno y externo a
sistemas, redes, servicios de red y servicios en la nube.
-Registro de inhabilitación de derechos de acceso.
-Roles y responsabilidades para la eliminación de derechos de acceso, tales como: Matriz de
asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.

Nota: Se deberán entregar ambos documentos.

El documento denominado procedimiento de devolución de activos del personal que deja de

pertenecer a la empresa, deberá contener los elementos siguientes:
-Firmas de Autorización del documento.
-Descripción de activos tangibles y no tangibles a devolver de acuerdo al puesto.
-Condiciones en las que se entregan los activos tangibles y no tangibles.
-Protocolo de verificación de acceso a los activos, tales como equipos de cómputo o equipos
móviles o accesos a sistemas de información de la empresa, acceso a herramientas provistas
por la empresa y servicios en la nube.

Se deberán incluir los formatos utilizados para la devolución de activos tangibles y no

tangibles.

El documento denominado procedimiento de terminación de la relación laboral con los

empleados deberá contener los elementos siguientes:

-Firmas de Autorización del documento.

-Protocolo de revisión de acuerdos de confidencialidad que mantengan la vigencia después de
finalizada la relación laboral en términos de la ley aplicable.

El documento denominado inventarios de activos (tangibles y no tangibles) deberá contener

los elementos siguientes:

-Identificador del activo, por ejemplo, código de identificación o ID o nombre del activo.
-Características del activo (marca, modelo, serie, versión, IP).
-Ubicación del activo.

El documento denominado inventario de activos debe contener los elementos siguientes:

-Propietario del activo.

-Responsable del activo.
El documento denominado política o procedimientos de uso aceptable de activos y de la
información debe contener los elementos siguientes:
-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de uso aceptable de activos de la empresa; es decir, una descripción del como
la empresa concibe dicho concepto.
-Lineamientos o procedimientos con los que la empresa dispone para utilizar los activos
relacionados con el servicio de CFDI.
-Roles y responsabilidades para el uso aceptable de activos y de la información, tales
como: Matriz de asignación de responsabilidades u organigrama con descripción de funciones
o listado de puestos y detalles de actividades.
-Sistemas de información, software y activos tangibles contemplados en la política o
procedimientos.
-Medidas disciplinarias en caso de incumplimientos a la política.

El documento denominado procedimiento de uso aceptable de activos y de la información

deberá contener los elementos siguientes:
-Firmas de Autorización del documento.
-Roles y responsabilidades para el uso aceptable de activos y de la información, tales
como: Matriz de asignación de responsabilidades u organigrama con descripción de funciones
o listado de puestos y detalles de actividades.
-Directrices de uso aceptable de los activos relacionados con el proceso de CFDI.

Nota: Se deberán entregar ambos documentos.

La empresa debe presentar fotografías o videos o planos de las instalaciones donde se

identifique el perímetro de seguridad en sus instalaciones, por ejemplo: Paredes
perimetrales o puertas de acceso controlado o cercas electrificadas o estructuras
metálicas que impidan el acceso libre a las instalaciones.
La empresa debe presentar fotografías o videos o planos o contratos donde se identifiquen
los controles de entrada implementados para el acceso a las instalaciones.

El documento denominado análisis de riesgos deberá contener los elementos siguientes y como
alcance al menos el proceso de CFDI:

-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de riesgo de la empresa; es decir, una descripción del como la empresa concibe
dicho concepto.
-Marco de referencia para la gestión de riesgos.
-Ciclo de vida de la gestión de riesgos.
-Roles y responsabilidades para la gestión de riesgos (identificación, clasificación,
tratamiento, evaluación, entre otros), tales como: Matriz de asignación de
responsabilidades u organigrama con descripción de funciones o listado de puestos y
detalles de actividades.
-Metodología para identificación de riesgos utilizada por la empresa.
-Inventario de activos físicos y en la nube que soportan el proceso de CFDI.
-Listado de amenazas y vulnerabilidades relacionadas con el proceso de timbrado de CFDI.
-Estimación y Clasificación de riesgos, tales como: Bajo, medio, alto o crítico, moderado,
nulo o cualquier otro tipo de identificadores definidos por la empresa de acuerdo al marco
de referencia utilizado.
-Análisis de impacto al negocio*
-Listado de riesgos identificados por la empresa, tales como: Riesgos operativos o
contractuales, riesgos del entorno o relacionados con la normatividad y legislación, o
riesgos derivados de eventos climatológicos y sociales, relacionados a usuarios
malintencionados o relacionados a la tecnología.
-Reporte de riesgos encontrados.

*BIA - Business Impact Analisys.

El documento denominado análisis de riesgos deberá contener una sección donde se describa
la priorización de mitigación de riesgos y sus planes (deberá contener las actividades,
fechas y resultados esperados).
El documento denominado política de gestión de incidentes de seguridad de la información,
deberá contener los elementos siguientes:

-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de incidente de seguridad de la empresa; es decir, una descripción del como la
empresa concibe dicho concepto.
-Roles y responsabilidades para la gestión de incidentes de seguridad, tales como: Matriz
de asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
-Medidas disciplinarias en caso de incumplimientos a la política.
-Directriz, anexo técnico o procedimiento dirigido a proveedores en el que se establezcan
directrices para el manejo de incidentes y problemas de seguridad de la información.

El documento denominado procedimiento de gestión de incidentes de seguridad de la

información debe contemplar los elementos siguientes:
-Firmas de Autorización del documento.
-Responsables del monitoreo de incidentes de seguridad en áreas y activos críticos para
todos los empleados.
-Identificación de incidentes de seguridad de acuerdo a los criterios de la política de
gestión de incidentes de seguridad.
-Protocolo para la identificación, evaluación, clasificación, registro, atención y
seguimiento de incidentes de seguridad relacionados con el proceso de CFDI.
-Registro de incidentes en formato físico o electrónico.
-Notificación de incidentes a los puestos directivos de acuerdo a los roles y
responsabilidades documentados.
-Proceso de atención de incidentes y escalamiento.
-Seguimiento y cierre de incidentes.
-Documentación de solución de incidentes como minutas o registros de bitácora o base de
conocimiento o registró histórico de incidentes.
Nota: Se deberán entregar ambos documentos.

La empresa debe contar con procedimientos documentados que especifiquen el protocolo que el
proveedor de servicios en la nube y de centro de datos on premise utilizarán para
notificar a la empresa en caso de incidentes de seguridad, se deberá incluir el contacto y
los canales de comunicación; estos protocolos podrán ser parte de las obligaciones
contractuales o de los anexos técnicos que formaran parte del contrato.

El documento denominado procedimiento de notificación al SAT deberá contemplar protocolos

de comunicación y registro de incidentes o cambios que afecten el proceso de CFDI, tales
como:

-Interrupciones en el proceso de CFDI.

-Interrupciones en el servicio de entrega de CFDI al SAT.
-Indisponibilidad del portal gratuito de timbrado de CFDI.
-Ventanas de mantenimiento.
-Cambios en la infraestructura de la empresa.
-Cambios en el software de la empresa relacionado con el proceso de CFDI.

En el documento denominado procedimiento de notificación al SAT se deben especificar los

contactos de la empresa y del SAT, medios de comunicación como correo electrónico o
teléfono de contacto así como la documentación física que deberá entregarse para realizar
la notificación.
Para acreditar el control la empresa debe demostrar que tiene monitoreos especiales para
eventos de seguridad de alto impacto, por ejemplo: Ganchos de auditoría en los sistemas o
monitoreo activo manual o permanente de cuentas privilegiadas o monitoreo de acceso a
información con el nivel de clasificación más alto de acuerdo a la política de
clasificación de la empres o el monitoreo manual o automático de acceso a áreas críticas
para el proceso de CFDI, lo anterior con base en la política de gestión de incidentes de
seguridad de la información y al procedimiento de gestión de incidentes de seguridad de la
información.
Para acreditar el control la empresa debe presentar los registros físico o digitales de los
eventos de seguridad que son monitoreados, dichos registros o bitácoras deben ser
resguardados en lugares seguros como cajas fuertes o respaldos fuera de sitio en ubicación
segura o algún otro esquema de resguardo mediante el cual sólo el personal autorizado pueda
tener acceso.

El documento denominado procedimiento de monitoreo de los eventos de seguridad de los

activos deberá contener los elementos siguientes:

-Firmas de Autorización del documento.

-Listado de eventos de seguridad a monitorear.
-Mecanismos físicos o lógicos para realizar el monitoreo.
-Roles y responsabilidades del monitoreo de eventos de seguridad, tales como: Matriz de
asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.

La empresa debe presentar un reporte de cumplimiento con alcance que integre las políticas
y procedimientos en la presente matriz de controles, dicho reporte deberá tener una
antigüedad no mayor a 6 meses y deberá contener los elementos siguientes:

-Firmas de Autorización del documento.

-Descripción de políticas y procedimientos a revisar.
-Personal involucrado en la revisión.
-Diseño de pruebas para determinar el cumplimiento.
-Resultados de las pruebas de cumplimiento.
-Recomendaciones emitidas por el personal que realizó la revisión.

La empresa deberá presentar contratos vigentes de licenciamiento para el software y

servicios en la nube utilizados en el proceso de CFDI que sean contratados con terceros.
La empresa debe presentar los contratos vigentes con los centros de datos o con proveedores
de servicios en la nube o anexo técnico o documentos formales o convenio donde se
especifique que la información generada, almacenada, transmitida y procesada en dicha
infraestructura es propiedad de la empresa en todo momento y que el proveedor no tiene
acceso a dicha información.
En caso de existir incumplimientos a las políticas, la empresa deberá presentar un
documento donde explique las actividades, protocolos o controles que garantice que se
cumple lo estipulado en las políticas, así mismo se deberán documentar los resultados de
las actividades, protocolos o controles implementados para asegurar el cumplimiento.

El documento denominado Plan de continuidad del Negocio* deberá contar con los elementos
siguientes y fecha de revisión no mayor a 12 meses:

-Firmas de Autorización del documento.

-Objetivo del plan de continuidad del negocio.
-Escenarios que contempla el plan de recuperación de negocio, por ejemplo: Fenómenos
sociales, climatológicos, entorno tecnológico de la empresa, indisponibilidad de la
infraestructura en la nube o cualquier otro supuesto que afecte la continuidad de la
prestación del servicio de CFDI.
-Normatividad y legislación vigente aplicable a la empresa que deberá mantenerse en caso
que se active el plan.
-Roles y responsabilidades para la activación, ejecución, gestión, revisión y documentación
del plan, tales como: Matriz de asignación de responsabilidades u organigrama con
descripción de funciones o listado de puestos y detalles de actividades.
-Condiciones operativas y tecnológicas requeridas para la ejecución del plan en esquemas
"on premise" y servicios contratados con proveedores en la nube.
-Protocolos de activación del plan.
-Protocolos de ejecución del plan.
-Protocolos de finalización del plan.

*Business Continuity Plan (BCP)

Para acreditar el control la empresa deberá presentar documentos relacionados a la
ejecución del plan que contengan los elementos siguientes y con fecha de creación no mayor
a 12 meses:

-Firmas del personal responsable de realizar las pruebas al plan de continuidad del
negocio.
-Alcance de las pruebas a realizar.
-Áreas participantes.
-Protocolo de realización de las pruebas.
-Documentación de resultados de las pruebas.
-Control de cambios a realizar al documento denominado Plan de Continuidad del Negocio.
El documento denominado Estudio de capacidad tecnológica deberá tener una vigencia de
creación o revisión no mayor a 12 meses y contener los elementos siguientes:
-Firmas de Autorización del documento.
-Objetivo del documento.
-Roles y responsabilidades de la realización del estudio de capacidad tecnológica y
monitoreo de la capacidad tecnológica, tales como: Matriz de asignación de
responsabilidades u organigrama con descripción de funciones o listado de puestos y
detalles de actividades.
-Características tecnológicas de la infraestructura relacionada al proceso de CFDI que la
empresa requiere para brindar el servicio a los contribuyentes de acuerdo a su proyección
de negocio, tales como: Diagramas de infraestructura o inventario de activos requeridos de
procesamiento de información.
-Protocolos de cambios a la infraestructura en caso de ser requerido.
-Mecanismos de monitoreo de la infraestructura, por ejemplo: Herramientas automáticas para
monitoreo de rendimiento o revisiones periódicas realizadas por el personal de la empresa o
cualquier otro mecanismo que permita a la empresa determinar el nivel de desempeño de la
infraestructura y actuar de manera preventiva en caso de requerir cambios o aumento de
capacidades.

El documento denominado Estudio de capacidad operativa deberá contar con los elementos
siguientes y con una fecha de revisión o creación no mayor a 12 meses:
-Firmas de Autorización del documento.
-Objetivo del documento.
-Roles y responsabilidades de la realización del estudio de capacidad operativa y monitoreo
de la capacidad operativa, tales como: Matriz de asignación de responsabilidades u
organigrama con descripción de funciones o listado de puestos y detalles de actividades.
-Descripción de los perfiles requeridos para llevar a cabo la operación del proceso de CFDI
así como la cantidad de recursos requeridos por perfil.
-Protocolos de acción en caso de requerir la contratación de nuevo personal con base en las
necesidades de la empresa o en caso de requerir reducir la cantidad de personal.
-Mecanismos de monitoreo de la capacidad operativa relacionada con el personal manuales o
automatizados.
El documento denominado Plan de recuperación de desastres para esquemas "on premise" e
infraestructura en la nube" deberá contener los elementos siguientes:
-Firmas de Autorización del documento.
-Objetivo del plan de recuperación de desastres.
-Roles y responsabilidades para la activación, ejecución, gestión y conclusión del plan de
recuperación, por ejemplo: Matriz de asignación de responsabilidades u organigrama con
descripción de funciones o listado de puestos y detalles de actividades.
-Escenarios que contempla el plan de recuperación de desastres, por ejemplo: Fenómenos
climatológicos o en el entorno tecnológico de la empresa que detengan el proceso de CFDI o
pérdida de la infraestructura en la nube, o cualquier otro supuesto que represente
afectaciones críticas al proceso de CFDI.
-Normativa y legislación vigente aplicable a la empresa que deberá mantenerse en caso que
se active el plan de recuperación de desastres.
-Roles y responsabilidades para la activación, ejecución, gestión, revisión y documentación
del plan de recuperación de desastres, tales como: Matriz de asignación de
responsabilidades u organigrama con descripción de funciones o listado de puestos y
detalles de actividades.
-Condiciones operativas y tecnológicas requeridas para la ejecución del plan.
-Protocolos de activación del plan.
-Protocolos de ejecución del plan.
-Protocolos de finalización del plan.

Para acreditar el control la empresa deberá presentar documentos relacionados a la

ejecución del plan que contengan los elementos siguientes y con fecha de creación no mayor
a 12 meses:
-Firmas del personal responsable de realizar las pruebas al plan de recuperación de
desastres.
-Alcance de las pruebas a realizar.
-Áreas o procesos de negocio o personal participante.
-Protocolo de realización de las pruebas.
-Documentación de resultados de las pruebas.
-Control de cambios a realizar al documento denominado Plan de Recuperación de Desastres.
-Programa de realización de pruebas.
El documento denominado política de control de acceso, deberá contener los elementos
siguientes:

-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de control de accesos a los activos tangibles y no tangibles de la empresa
relacionados con el proceso de CFDI; es decir, una descripción del como la empresa concibe
dicho concepto.
-Roles y responsabilidades del control de accesos, tales como: Matriz de asignación de
responsabilidades u organigrama con descripción de funciones o listado de puestos y
detalles de actividades.
-Sistemas de información y redes y sistemas operativos y software, o activos tangibles y no
tangibles, y servicios en la nube (incluyendo activos en la nube), contemplados en la
política.
-Condiciones y aprovisionamiento para otorgar acceso.
-Medidas disciplinarias en caso de incumplimientos a la política.
-Obligaciones contractuales de control de accesos para proveedores tales como: Cláusulas de
acceso a sistemas, derechos de acceso a los activos o lineamientos generales para otorgar
acceso a proveedores a los activos de la empresa.
-El documento deberá contener periodos programados de revisión de al menos 6 meses y en su
caso extraordinarios para revisión del documento, de ser necesario el documento deberá
actualizarse y se deberán documentar los cambios realizados en el documento en un apartado
de control de cambios.

El documento denominado procedimiento para controlar el acceso a los activos, debe contener
los elementos siguientes:

-Firmas de Autorización del documento.

-Protocolo para solicitud de accesos a sistemas de información y redes y sistemas
operativos y software, o activos tangibles y no tangibles, y servicios en la nube
(incluyendo activos en la nube), entre otros.
-Esquemas de autorizaciones para accesos.
-Aprovisionamiento para el acceso.
-Restricciones de accesos.
-Perfiles de acceso.
-Formatos físicos o digitales o medios para solicitar el acceso.
Nota: se deberán entregar ambos documentos.

El documento denominado procedimiento para altas, bajas y cambios de accesos deberá

contener los elementos siguientes:

-Firmas de Autorización del documento.

-Protocolo para alta, baja y cambio de cuentas de usuario.
-Condiciones para realizar el bloqueo o inhabilitación de accesos por intentos fallidos de
acceso.
-Condiciones para realizar el bloqueo o inhabilitación de accesos a cuentas que presentes
periodos extensos de inactividad, se recomienda que dicho periodo sea a partir de 90 días.
-Condiciones para otorgar accesos remotos a los sistemas de la empresa.
-Requerimientos tecnológicos para accesos remotos a los sistemas de la empresa.
-Restricciones de acceso a la información con base en perfiles.
-Formatos utilizados para el alta, baja o cambio de cuentas de usuario.

El documento denominado procedimiento de restricción, asignación y uso de cuentas

privilegiadas deberá contener los elementos siguientes:

-Firmas de Autorización del documento.

-Protocolo de autorización para generación de cuentas privilegiadas.
-Protocolos para la asignación de cuentas privilegiadas.
-Protocolos para restricción de actividades de cuentas privilegiadas.
-Condiciones de uso de cuentas privilegiadas.
El documento denominado procedimiento de asignación de contraseñas deberán contar con los
elementos siguientes:
-Firmas de Autorización del documento.
-Reglas para la generación de contraseñas de primer acceso o por defecto (para usuarios
regulares y con accesos privilegiados).
-Protocolo de entrega e información de autenticación por primera vez y ante solicitudes de
cambio de información de autenticación (para usuarios regulares y con accesos
privilegiados).
-Reglas en los activos que requieran contraseña para que se realice el cambio después de
acceder por primera vez.
-Algoritmos de cifrado de contraseñas para su almacenamiento, por ejemplo: MD5 o SHA1 o
SHA256, entre otros.
-Reglas en los activos para la composición de contraseñas, por ejemplo que excluyan
palabras comunes o que no permitan que contenga datos del usuario o que manejen una
longitud de conformidad con las mejores prácticas de seguridad informática y de la
información (para usuarios regulares y con accesos privilegiados).

Para acreditar el control la empresa deberá presentar documentos, videos, imágenes o

registros de sistemas o cualquier otro elemento que permita identificar las actividades que
realiza la empresa cada 6 meses para revisar las cuentas de usuarios en sus sistemas de
información y redes y sistemas operativos y software, o activos tangibles y no tangibles,
así como servicios en la nube (incluyendo activos en la nube), relacionados con el proceso
de CFDI, que están en posibilidad de identificar usuarios inhabilitados y cualquier otro
supuesto listado en el documento "Procedimiento para altas, bajas y cambios de accesos".

Para acreditar el control la empresa deberá presentar estudios topográficos, mapas

satelitales, planos de la zona en que se encuentra el centro de datos; en caso de existan,
el documento presentado debe resaltar zonas de peligro, por ejemplo: Gasolineras, gaseras,
minas, acometidas de cableado de electricidad y gas o cualquier otro elemento que
represente un riesgo para el centro de datos; las zonas de peligro deberán situarse al
menos a 100 metros de distancia del centro de datos.
En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos
firmados con los proveedores en la nube, no deberán ser contratos de prueba de los
servicios en la nube, dichos contratos deberán tener una vigencia de al menos un año.

Para acreditar el control la empresa deberá presentar fotos, videos o imágenes en los que
se identifiquen los con controles de acceso físico implementados.
El documento denominado procedimiento de control de accesos debe contener los elementos
siguientes:

-Firmas de Autorización del documento.

-Instalaciones en las que aplica el procedimiento
-Roles y responsabilidades para el control de accesos, tales como: Matriz RACI u
organigrama con descripción de funciones o listado de puestos y detalles de actividades.
-Protocolos de autorización a solicitudes de acceso.
-Tiempos de respuesta a las solicitudes de acceso.

En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos

firmados con los proveedores en la nube, o el anexo técnico correspondiente donde se
especifique que cuenta con ese tipo de controles.
Para acreditar el control la empresa deberá presentar fotos, videos o imágenes donde se
identifique el CCTV utilizado o instalado por la empresa y sus características.
La empresa deberá presentar fotos o videos o imágenes o bitácoras o contratos donde se
identifique el historial de grabaciones almacenadas del CCTV, la ubicación física de las
grabaciones, los periodos de almacenamiento para cada archivo y los controles para acceder
a dichos archivos.
La empresa deberá presentar la documentación generada en los últimos 12 meses relacionada
con la capacitación provista al personal que opera el CCTV involucrado en el proceso de
timbrado de CFDI y para atención de emergencias, tales como: Minutas de participación o
planes de concientización y listas de asistencia o contratos con empresas de operación de
CCTV o cualquier otro documento que permita determinar la fecha de realización de la
capacitación y el personal que recibió la información.
En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos
firmados con los proveedores en la nube o el anexo técnico correspondiente donde se
especifique que cuenta con ese tipo de controles o certificaciones de organismos
internacionales que lo soporten.

Para acreditar el control la empresa deberá presentar fotos, videos, imágenes o planos
donde se identifiquen los señalamientos de las áreas siguientes:
-Áreas de acceso restringido.
-Rutas de evacuación.
-Ubicación de equipo de emergencia.
En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos
firmados con los proveedores en la nube, o el anexo técnico correspondiente donde se
especifique que cuenta con ese tipo de controles.

Para acreditar el control la empresa deberá presentar contratos, fotos, videos o pólizas de
mantenimiento (con fecha de emisión no menor a 12 meses) así como planos o documentación de
protección civil (firmada) o certificados que permitan identificar las medidas contra
incendios implementadas en el centro de datos.

En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos

firmados con los proveedores en la nube, o el anexo técnico correspondiente donde se
especifique que cuenta con ese tipo de controles.

Para acreditar el control la empresa deberá presentar contratos, fotos, videos o pólizas de
mantenimiento (con fecha de emisión no menor a 12 meses) así como planos que permitan
identificar el sistema de aire acondicionado instalado en el centro de datos.
En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos
firmados con los proveedores en la nube, o el anexo técnico correspondiente donde se
especifique que cuenta con ese tipo de controles.

Para acreditar el control la empresa deberá presentar contratos, o fotos, o videos o

contratos donde se identifiquen los controles contra inundaciones implementados en el
centro de datos.

En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos

firmados con los proveedores en la nube, o el anexo técnico correspondiente donde se
especifique que cuenta con ese tipo de controles.
Para acreditar el control la empresa deberá presentar contratos o documentos de instalación
o pólizas de mantenimiento que permitan identificar las características de la instalación
eléctrica en el centro de datos, que el personal que realizó la instalación y el
mantenimiento cuente con las competencias para realizar dichas actividades y que se
realizan revisiones al menos cada 6 meses a la instalación eléctrica del centro de datos.
En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos
firmados con los proveedores en la nube, o anexo técnico correspondiente o documentación
formal donde se especifique que cuenta con ese tipo de controles o certificaciones de
organismos internacionales que lo soporten.
Para acreditar el control la empresa deberá presentar contratos o documentos de
mantenimiento preventivo o documentos de revisión de no más de 6 meses de antigüedad que
permitan identificar las actividades de mantenimiento a servicios de soporte y controles
ambientales.

En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos

firmados con los proveedores en la nube, o el anexo técnico correspondiente donde se
especifique que cuenta con ese tipo de planes y a periodicidad con la que se ejecutan.
Para acreditar el control la empresa deberá presentar facturas de compra o contratos de
arrendamiento de equipos para la prevención o detección de intrusos en la infraestructura
de la empresa; así mismo se deben presentar capturas de pantalla o registros de
configuración generados por los equipos.

En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos

firmados con los proveedores en la nube, o el anexo técnico correspondiente donde se
especifique que cuenta con ese tipo de controles o certificaciones de organismos
internacionales que lo soporten o los documentos operativos del proveedor de servicios en
la nube donde se documenten estos controles.
Para acreditar el control la empresa deberá presentar facturas de compra o contratos de
arrendamiento de equipos que apliquen listas de control de acceso en la infraestructura de
la empresa; así mismo se debe presentar capturas de pantalla o registros de configuración
generados por los equipos.
En caso de contar con infraestructura en la nube, la empresa deberá presentar contratos
firmados con los proveedores en la nube, o anexo técnico donde se especifique que cuenta
con ese tipo de controles o certificaciones de organismos internacionales que lo soporten o
los documentación operativa del proveedor en la nube donde se especifiquen las
características de los controles de protección perimetral.
Para acreditar el control la empresa deberá presentar diagramas de interconexión de los
activos que soportan el proceso de CFDI físicos y en la nube que permitan identificar la
segmentación de redes, dichos diagramas deberán contar con los elementos siguientes:
-ID del activo.
-IP del activo.
El documento denominado Línea base de seguridad deberá ser aplicado a los activos
tecnológicos relacionados con el proceso de CFDI de acuerdo a las siguientes
características:

-Firmas de Autorización del documento.

-Protocolo de configuración de contraseña para el acceso a BIOS
-Protocolo de inhabilitación de unidades de disco, disquete, disco duro externo, memorias
Flash USB o cualquier otro medio de almacenamiento removible.
-Protocolo de particionado de almacenamiento de acuerdo a los sistemas operativos
utilizados por la empresa.
-Protocolo de instalación exclusiva de sistema operativo.
-Protocolo de revisión de configuración de puertos, servicios y usuarios.
-Protocolo de inhabilitación de puertos, servicios y usuarios no relacionados con el
proceso de CFDI.
-Protocolo de revisión de recomendación de seguridad del fabricante, análisis e
implementación de acuerdo a las políticas de la empresa y requerimientos de la
infraestructura.
-Restricciones para la instalación de software.
Para acreditar el control la empresa deberá presentar capturas de pantalla o registros de
los sistemas operativos o videos donde se identifique que los activos relacionados con el
procedimiento de timbrado cuentan con las ultimas actualizaciones de seguridad y
actualizaciones de los programas de acuerdo a su versión.

El documento denominado procedimiento de actualizaciones deberá contener los elementos

siguientes:

-Firmas de Autorización del documento.

-Roles y responsabilidades para evaluar e implementar actualizaciones, tales como: Matriz
de asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
-Protocolo para selección de actualizaciones.
-Protocolo de evaluación de funcionalidad de los sistemas con actualizaciones en ambiente
de pruebas y documentación de resultados.
-Protocolo de liberación de actualizaciones.
El documento denominado procedimiento de respaldos deberá contener los elementos
siguientes:
-Firmas de Autorización del documento.
-Roles y responsabilidades para la realización y resguardo de respaldos, tales como: Matriz
de asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
-Definición de tipos de respaldo de la empresa.
-Listado de información y sistemas sujetos al procedimiento de respaldo.
-Protocolo para selección y autorización de medios de respaldo o repositorios en la nube
donde se colocarán dichos respaldos.
-Calendario de respaldos.
-Protocolo de generación de respaldos.
-Protocolo de autorización para acceso a respaldos y supervisión.
-Determinación de periodo de almacenamiento de respaldos.

Para acreditar el control la empresa deberá presentar bitácoras o registros de herramientas

(software) de restauración de respaldos o bitácoras físicas de pruebas de respaldos que
contengan los elementos siguientes:
-Fecha/Hora de realización de la prueba.
-Responsables de las pruebas.
-Identificador del medio de respaldo.
-Pruebas a realizar.
-Resultados de las pruebas.
-Autorización de pruebas.

Para acreditar el control la empresa deberá presentar un procedimiento para la protección

de medios de respaldo que contengan los elementos siguientes:
-Firmas de Autorización del documento.
-Roles y responsabilidades para la protección de medios de respaldo, tales como: Matriz de
asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
-Protección de respaldos contra pérdida, destrucción, falsificación, publicación no
autorizada y acceso no autorizado.
-Protección de respaldos en sitios de almacenamiento final.
-Identificación de la ubicación (física o en la nube) de los respaldos.
-Protocolo de autorización de acceso a medios de respaldo.

Así mismo se debe presentar evidencia documental (fotos, videos, registros, entre otros)
para comprobar el cumplimiento de lo dispuesto en el procedimiento. para la protección de
medios de respaldo.
Para acreditar el control la empresa deberá presentar fotos, videos, contratos, formatos
físicos o digitales, herramientas automatizadas o solución en la nube que permitan
identificar el etiquetado realizado a cualquier información relacionada con el proceso de
CFDI de conformidad a lo dispuesto en el documento denominado procedimiento de etiquetado
de la información (control 9 de la presente matriz).
El documento denominado procedimiento para la destrucción o borrado seguro de información
deberá contener los elementos siguientes:
-Firmas de Autorización del documento.
-Roles y responsabilidades para la destrucción o borrado de información, tales como: Matriz
de asignación de responsabilidades u organigrama con descripción de funciones o listado de
puestos y detalles de actividades.
-Protocolo de solicitud de destrucción o borrado de información.
-Protocolo de Autorización y destrucción o borrado de información.
-Documentación o formatos requeridos para llevar a cabo la destrucción o borrado de
información.
El proveedor de servicios en la nube deberá contar con procedimientos formales de borrado
seguro de los medios cuando ya no son utilizados, dicha documentación deberá ser
presentada en el anexo técnico que forma parte del contrato.
Para acreditar el control la empresa deberá presentar fotos, videos o contratos que
permitan identificar los controles de cifrado en los servicios expuestos de la empresa
relacionados con el proceso de CFDI, por ejemplo servicios web o portales web o servicios
FTP.
Para acreditar el control la empresa debe presentar:

En ambiente on premise (En Premisa - física)

-Facturas de adquisición o contratos de arrendamiento de los dispositivos HSM Fips-140-2
Nivel 3 donde se almacenará la llave privada del CSD otorgado por el SAT.
-Acta firmada por los responsables de la inicialización del dispositivo y custodia de los
elementos de autenticación, cada vez que se genere una llave privada en el dispositivo.
-Esquema de segregación de roles para el acceso al dispositivo.
-Log de inicialización de cada equipo.
-Log de configuración de cada equipo.
- Control de Accesos Físicos y Lógicos (Sólo personal autorizado).
En ambiente de Nube
-Contratos firmados con los proveedores en la nube, anexo técnico o documentación formal
donde se especifique que los dispositivos o servicios HSM donde se almacena la llave
privada del CSD otorgado por el SAT, cumplen con Fips-140-2 Nivel 3.
-Acta firmada por los responsables de la inicialización del dispositivo/servicio y custodia
de los elementos de autenticación, cada vez que se genere una llave privada en el
dispositivo/servicio.
-Esquema de segregación de roles para el acceso al dispositivo/servicio.
-Log de inicialización de cada equipo/servicio.
-Log de configuración de cada equipo/servicio.
- Control de Acceso y Lógico(Sólo personal autorizado).
Nota: Si el equipo o servicio es utilizado adicionalmente para procesos ajenos a la
prestación del servicio de CFDI, la información del proceso de CFDI deberá permanecer
aislada lógicamente de cualquier otro proceso e información.

El documento denominado procedimiento de gestión de configuración y acceso deberá contener

los elementos siguientes:

-Firmas de Autorización del documento.

-Roles y responsabilidades para la autorización de acceso al equipo donde se almacena la
llave privada del CSD otorgado por el SAT, tales como: Matriz RACI u organigrama con
descripción de funciones o listado de puestos y detalles de actividades o relación de
custodios para acceder al equipo.
-Protocolo de acceso al dispositivo mediante segregación de roles.
-Protocolo de configuración de seguridad.
-Protocolo de configuración inicial.
-Configuración de registro de hashes de control.
-Protocolo para replicación, respaldo y borrado de la llave privada.

Se deberá presentar evidencia documental (imágenes, video, o documentación técnica) que

demuestre el cumplimiento de lo dispuesto en el procedimiento de gestión de configuración y
acceso en los dispositivos.
Nota: Si el equipo es utilizado adicionalmente para procesos ajenos a la prestación del
servicio de CFDI, la información del proceso de CFDI deberá permanecer aislada lógicamente
de cualquier otro proceso e información.

La empresa deberá presentar informes de resultados de las pruebas de seguridad informática

o reporte de análisis de vulnerabilidades realizados en la infraestructura relacionada con
el proceso de CFDI con una fecha de emisión no mayor a 12 meses.
Para acreditar el control la empresa deberá presentar bitácoras de remediación o planes
para corregir los hallazgos documentados en los informes de resultados de las pruebas de
seguridad informática o reportes de análisis de vulnerabilidades, los planes o bitácoras
deben contener las fechas de ejecución y los resultados de las actividades realizadas.
La empresa deberá presentar un procedimiento para la autorización del uso de herramientas
utilizadas para el análisis de vulnerabilidades y pruebas de seguridad que contenga los
elementos siguientes:

-Firmas de Autorización del documento.

-Roles y responsabilidades para la autorización de uso de herramientas para el análisis de
vulnerabilidades y pruebas de penetración, tales como: Matriz de asignación de
responsabilidades u organigrama con descripción de funciones o listado de puestos y
detalles de actividades.
-Protocolo de autorización de uso de dichas herramientas.
-Lista actualizada de herramientas autorizadas.
Para acreditar el control la empresa deberá presentar fotos, videos , contratos o pólizas
de soporte que permitan identificar la solución para la detección, prevención y
recuperación contra código malicioso; instalado en los activos relacionados al proceso de
CFDI y su última fecha de actualización de acuerdo al fabricante o proveedores de la
solución.
Para acreditar el control la empresa deberá presentar diagramas de interconexión de los
sistemas o diagramas de infraestructura físico o diagramas de infraestructura lógica donde
se identifique la existencia y separación de los ambientes de desarrollo, pruebas y
producción (de acuerdo al inventario de activos) para evitar el acceso no autorizado entre
usuarios de diferentes ambientes.
Para acreditar el control la empresa deberá presentar fotos, videos, diagramas de
infraestructura o diagramas de interconexión de sistemas donde se identifique el
aislamiento de la información de timbrado de CFDI.
El aislamiento debe entenderse como el uso exclusivo de recursos y activos para el proceso
de CFDI independientemente de procesos de negocio adicionales existentes en la empresa.
Para acreditar el control la empresa deberá presentar documentación técnica de los
aplicativos relacionados con el proceso de timbrado CFDI que contenga los elementos
siguientes:
-Diagramas de flujos de datos.
-Modelo y diccionario de datos.
-Diagrama de implementación.

La empresa deberá presentar el diagrama de proceso de CFDI.

Para acreditar el control la empresa deberá presentar fotos, videos, bitácoras de sistemas,
capturas de pantalla o segmentos del código fuente de los aplicativos donde se identifiquen
los mecanismos automáticos de control de acceso (usuarios internos y externos) a la
totalidad de los aplicativos que se encuentran involucrados en el proceso de CFDI.

Para acreditar el control la empresa debe presentar formatos físicos o digitales, sistemas
de control de cambios o herramientas para la gestión de cambios en los aplicativos e
infraestructura en la nube, que incluyan los elementos siguientes:
- Estimación de impacto de cambios.
- Pruebas de los cambios y resultados.
- Protocolo de autorización de cambios.
- Protocolo de liberación de cambios.
- Protocolo y actividades para realizar reversos de cambios.

Para acreditar el control la empresa deberá presentar las bitácoras, o logs o registros de
aplicativos que contengan los elementos siguientes:

- Fecha y hora de la actividad o transacción.

- Usuario.
- IP origen.
- Registro de intentos de acceso fallidos.
- Registro de accesos exitosos.
- Registro de actividad de los usuarios.
- Registro de cierre de sesión ya sea por inactividad o por parte del usuario.
- Registro de consulta de las propias bitácoras.
- Registro de errores y/o excepciones.
La empresa deberá presentar contratos, documentación técnica, evidencia de la
implementación y operación de la solución de almacenamiento centralizada de registros de
los activos (tangibles y no tangibles) relacionados con el proceso de CFDI, dicho
repositorio debe ser respaldado de acuerdo procedimiento de la empresa.

Los registros de las cuentas de administrador, cuentas privilegiadas y de usuario deberán

ser almacenados de forma independiente.

La empresa debe presentar el documento de acceso a bitácoras, dicho documento debe contener
los elementos siguientes:
-Firmas de Autorización del documento.
-Roles y responsabilidades para la autorización de acceso a los registros, tales como:
Matriz RACI u organigrama con descripción de funciones o listado de puestos y detalles de
actividades o relación de custodios para acceder al equipo.
-Protocolo de autorización de acceso.

Nota: debe considerarse también los ambientes virtualizados para el registro de bitácoras.

Para acreditar el control la empresa deberá presentar fotos, videos, registros del
aplicativo o segmentos de código fuente que permitan identificar la terminación de sesiones
por inactividad después de 10 minutos.
El documento denominado línea base de seguridad en el aplicativo deberá contener los
elementos siguientes:
-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
- Implementación de autenticación de los usuarios (internos o clientes).
- Implementación de mecanismo de no repudio de transacciones.
- Protección contra inyección de código
- Inicio de sesión seguro (usuarios internos y externos)
- Validación de datos de entrada / salida para evitar errores en el procesamiento de la
información.
- Manejo de errores dentro del aplicativo.
Se deberán presentar fotos, videos o segmentos de código de los aplicativos donde se
identifiquen los puntos listados.

Para acreditar el control la empresa deberá presentar contratos, anexos técnicos, fotos,
videos, registros de configuración de sistema o bitácoras donde se identifique el uso del
protocolo NTP de cada activo que soporta el proceso de CFDI para todas las transacciones.
 El documento denominado política de cifrado de información de los contribuyentes, deberá
contener los elementos siguientes:

-Firmas de la alta dirección o de quienes funjan como responsables del cumplimiento de los
objetivos de la empresa.
-Definición de cifrado de información de los contribuyentes de la empresa; es decir, una
descripción del como la empresa concibe dicho concepto.
-Roles y responsabilidades para el cifrado de la información de los contribuyentes, tales
como: Matriz de asignación de responsabilidades u organigrama con descripción de funciones
o listado de puestos y detalles de actividades.
-Sistemas de información, software y activos tangibles que contienen información de los
contribuyentes.
-Descripción de algoritmos de cifrado utilizados por la empresa.
-Medidas disciplinarias en caso de incumplimientos a la política.

El documento denominado procedimiento para el cifrado de información deberá contener los

elementos siguientes:
-Firmas de Autorización del documento.
-Protocolo de implementación de algoritmo de cifrado.
-Dispositivos involucrados en el registro, transmisión, procesamiento y almacenamiento de
información de los contribuyentes.
-Monitoreo de cifrado de la información.
-Reporte de desviaciones a la política de cifrado de la información de los contribuyentes.
Nota: Se deberán entregar ambos documentos.

Para acreditar el control la empresa debe presentar un documento firmado por el

representante legal de la empresa que describa los puntos siguientes:

-Que el representante legal de la empresa; que su representada conoce y respetará el apego

a las leyes aplicables vigentes.
-Que la empresa conoce su responsabilidad de verificar el cumplimiento de dichas leyes.
-Que la empresa exime al SAT de cualquier responsabilidad derivada del incumplimiento de
las leyes aplicables.
-Que la empresa conoce y dará cumplimiento a la normatividad reglamentaria y
administrativa.

la prestación parcial o total del proceso de CFDI, los controles están orientados para los siguientes

nticidad, confiabilidad, trazabilidad y no repudio de la misma.

 Matriz de Controles para la Revisión de Segurid

ID Control Descripción
A Declaración de namespaces Declaración de namespaces

B Declaración de Addenda y sus namespaces Declaración de Addenda y

namespaces

C Validación de Datos requeridos Validación de Datos requeridos

D Utilización de caracteres especiales y Utilización de caracteres especiales

secuencias de escape y secuencias de escape

Caracteres en blanco, tabuladores o retornos Caracteres en blanco, tabuladores

E de carro o retornos de carro

Verificación del correcto sellado

Sellado conforme a la cadena original para el conforme a la cadena original para
F CFDI y para el Timbre Fiscal Digital el CFDI y para el Timbre Fiscal
Digital

Verificación de la validación de cada Verificación de la validación de

G comprobante cada comprobante para la emisión
de un timbre

Cumplimiento del cliente gratuito

con los estándares CFDI emitidos
H Cliente Gratuito por el SAT. (Anexo 20 y Matriz de
Controles)

Validación de la creación de un
I Validación de flujos CFDI desde el contribuyente hasta
su almacenamiento en el SAT
J Conexión Remota Verificación de la aplicación por
medio de una conexión remota

Entrega de Manuales de Usuario

K Manuales de Usuario para una Mejor Administración

Documentos de Control en los

cuales se establezca y especifique,
L Confidencialidad y Niveles de Servicio los acuerdos de Servicio y
Confidencialidad
la Revisión de Seguridad para los Aspirantes a PAC - Validación

Criterio de revisión Id. Sec

Verificar la correcta definición de namespaces, haciendo la referencia a la ruta publicada por el A.1
SAT en donde se encuentra el esquema de XSD. (Referencia Anexo 20)

Si se requiere utilizar esta funcionalidad, se deberá definir el nuevo namespace dentro del nodo B.1
Comprobante y publicar la ruta del esquema XSD para la validación

Validación de los campos obligatorios del CFDI que cumplan con el esquema de datos C.1

Utilización de caracteres especiales y secuencias de escape Generar un CFDI que contenga D.1
caracteres especiales y secuencias de escape

Generar un CFDI con 2 o más caracteres en blanco, tabuladores y retornos de carro E.1

Validación criptográfica de los sellos F.1

Cumplir con todas las validaciones necesarias para la emisión de un timbre G.1

Cumplimiento con requisitos técnicos y funcionales, que el cliente sea fácil de usar y cuente con
una interface amigable. Revisión documental de manuales H.1

Cumplimiento del paso por cada componente que integre el servicio de punta a punta. Otorgar I.1
al SAT usuarios para realizar pruebas
La conexión Remota debe permitir el acceso desde la Red del SAT J.1

K.1

Los manuales deben integrar instrucciones claras para usuario, de atención a usuario y de
atención a usuario del SAT K.2

K.3

L.1
Se deberán mostrar los documentos de Acuerdos de Niveles de Servicio (SLA) y de Convenio de
Confidencialidad, entre el Proveedor Autorizado y el Contribuyente

L.2
C - Validación Tecnológica

Revisión
Revisión de la correcta declaración de los namespaces del CFDI conforme
al Anexo 20 en cada uno de los rubros aplicables

Revisión y validación de la integración del Timbre Fiscal Digital y la

addenda cuando esta aplique, con sus namespaces conforme al Anexo 20
Validación sintáctica correcta del esquema de datos establecido.
Se deberá representar correctamente dichos caracteres codificados en
UTF-8 en la factura y en la generación de la cadena original, así como en la
representación impresa del CFDI.

Se deberán remplazar todos los tabuladores, retornos de carro y saltos de

línea por un espacios en blanco (toda secuencia de caracteres en blanco
intermedias se sustituyen por un único carácter en blanco) Anexo 20.

El correcto sellado conforme a la cadena original (En este proceso se

realizan las dos validaciones criptográficas, aplicables al CFDI y al Timbre
del PAC)

1. Que cumpla la estructura XML (XSD y complementos aplicables)2. Que

cumpla con el estándar de XML (Conforme al W3C)3. Que el CSD del
Emisor corresponda al RFC que viene como Emisor en el Comprobante 4.
Que el CSD del Emisor haya sido firmado por uno de los Certificados de
Autoridad de SAT5. que la llave utilizada para sellar corresponda a un CSD
(no de FIEL)6. que el CSD del Emisor no haya sido revocado, utilizando la
lista de CSD7. que el sello del Emisor sea válido8. Que la fecha de emisión
esté dentro de la vigencia del CSD del Emisor9. Que exista el RFC del
emisor conforme al régimen autorizado (Lista de validación de régimen)10.
que el rango de la fecha de generación no sea mayor a 72 horas para la
emisión del timbre11. que la fecha de emisión sea posterior al 01 de Enero
2011 12. que no contenga un timbre previo13. que el PAC no haya
timbrado previamente dicho ComprobanteLa previa validación de la
vigencia de los certificados usados en el sellado del CFDI

Validar que el cliente gratuito cumple con los requisitos técnicos emitidos
por el SAT: Verificar que el cliente gratuito tenga las funcionalidades de
autenticación de usuarios, administración de comprobantes emitidos,
creación de representación impresa. Verificar que el cliente gratuito es
multiplataforma y tecnológicamente neutral. Revisión de manuales de
usuario, de atención a usuarios y manual de pruebas para el SAT

Verificar que el servicio ofrecido desde el cliente gratuito y que al prestar

la certificación (timbrado) a terceros, se cumpla con la entrega del CFDI al
SAT y el envío del Timbre Fiscal Digital al cliente que lo genere
Realizar una conexión remota exitosa al aplicativo del Proveedor y realizar
pruebas conforme a los manuales de usuario y usuario para el SAT
entregados . (generación de CFDI, administración de CFDI, impresión, etc.)
El manual de usuario debe contener un índice y los puntos que describan
los pasos a manera de guía para hacer uso del servicio y sus
funcionalidades
El manual de atención a usuario debe contener un índice y los puntos
donde se informe al usuario las formas de contacto y resolución de
problemas con el servicio y sus funcionalidades

El manual de usuario SAT debe contener un índice y los puntos que

describan los pasos para que el SAT realice las pruebas remotas o en sitio

Mostrar el Documento de Acuerdo de Niveles de Servicio (SLA). En

particular para la Aplicación Gratuita se debe cumplir con lo publicado en
la página de internet respecto a la funcionalidad y servicios respectivos
Mostrar el Documento de Convenio de Confidencialidad, mediante el cual
el Proveedor Autorizado se compromete a hacer buen uso de la
información del Contribuyente.