Lineamientos que deben de observar quienes cuenten con la ...oma · Seguridad de la Información A....

Lineamientos que deben de

observar quienes cuenten con la

autorización para prestar los

servicios de prevalidación

electrónica de datos contenidos en

los pedimentos y los interesados en

obtenerla.

Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación

electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.

Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de

México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx

2

Control de versiones

VERSION FECHA AUTORIDAD COMENTARIOS

1.0 11-10 -

2017

Elaboró:

Administración Central de Apoyo Jurídico

de Aduanas.

Administración Central de Modernización

Aduanera.

Se emiten lineamientos.

1.1 08-12-

2017

Elaboró:


de Aduanas.


Aduanera.

Adecuación del nombre de los

lineamientos

Precisiones en el procedimiento

para obtener el oficio de validación

y opinión técnica.

1.2 18-05-

2018

Elaboró:


de Aduanas.


Aduanera.

Cambio de fecha para la

presentación del escrito en el que se

solicitará una verificación de

seguimiento.

Adecuación de normatividad.

1.3 18-07-

2018

Elaboró:


de Aduanas.


Aduanera.

Se modifica el apartado de Solicitud

de validación y opinión técnica, se

adiciona lo conducente a

mecanismos instrumentos o

medidas alternas, así como

actualización de fechas en marco

jurídico, formato del documento. Se

adiciona al apartado V, el Anexo 4 y

se adecua redación de los incicos c

y d; además se modifica redacción

en elapartado VI.

http://www.sat.gob.mx/





3

1.4. 21-11-

2018

Elaboró:


de Aduanas.


Aduanera.

Se modifican los apartados oficio de

resultados, continuidad en

operaciones y carta compromiso de

confidencialidad, reserva y

resguardo de información y datos,

así mismo, se adiciona anexo 5 con

procedimiento para reportar al SAT

incidentes que pongan en riesgo la

confidencialidad, disponibilidad e

integridad de la información de los

contribuyentes de acuerdo al

control C.3 de los presentes

lineamientos.






4

Contenido

I. Objetivo 6

II. Marco Jurídico 7

III. Glosario de definiciones y acrónimos . 6 8

IV. Seguridad de la Información

A. Gestión de Riesgos del prevalidador o aspirante 8

B. Política de seguridad de la información del prevalidador o aspirante 9

C. Aspectos organizacionales del prevalidador o aspirante 0

D. Seguridad en el personal . 1

E. Responsabilidad de los activos 12

F. Clasificación de la información

G. Manejo de Medios ..13

H. Requerimientos de control de acceso ..13

I. Requerimientos de control de acceso y administración de

acceso de usuario

..13

J. Responsabilidades de los usuarios .14

K. Controles de cifrado ..15

L. Áreas seguras .15

M. Equipos ..16

N. Procedimientos y responsabilidades operativas .17

O. Protección contra código malicioso .17

P. Respaldos ..






5

Q. Registro y monitoreo 18

R. Control de software perativo 19

S. Administración de vulnerabilidades técnicas 20

T. Tranferencia de Información .. 20

U. Seguridad en el desarrollo de procesos de soporte .20

V. Seguridad en la información en relaciones con proveedores

y gestión de prestación de servicios de los proveedores. ..

.21

W. Administración de incidentes de seguridad de la

información y mejoras

2

...22

X. Redundancias .22

Y. Continuidad de la seguridad de la información 2. 22

Z. Revisión de seguridad de la información . ..23

V. Procedimiento para obtener el oficio de validación y opinión técnica 24

a) Solicitud de validación y opinión técnica ... .24

b) Verificación en sitio . 6

c) Oficio de resultados . 7

d) Entrega de oficio de validación y opinión técnica . 9

VI. Continuidad en operaciones . 9

VII. Carta Compromiso de Confidencialidad, Reserva y Resguardo de

Información y datos

. .29

Anexo 1 . 30

A Anexo 2 31

Anexo 3 5

Anexo 4 6

Anexo5 51






6

I. Objetivo

Dar a conocer los medios de control de seguridad a que se refiere la fracción XV de la

Regla 1.8.2 de las Reglas Generales de Comercio Exterior, que deberán cumplir las

personas que cuentan con la autorización para prestar los servicios de prevalidación

electrónica de datos, contenidos en los pedimentos en términos del artículo 16-A de

la Ley Aduanera y 13 de su Reglamento, asi como las personas interesadas en

obtenerla.

De igual manera, a través de los presentes lineamientos se da a conocer el

procedimiento que deben realizar las personas interesadas en obtener el oficio de

validación de seguridad de la información.

Adicionalmente, a través de los presentes lineamientos se da a conocer el formato de

que deberán presentar las personas que cuentan con la autorización para prestar los

servicios de prevalidación electrónica de datos contenidos en los pedimentos en

términos de lo establecido en el segundo párrrafo de la fracción X de la citada Regla

1.8.2.






7

II.Marco Jurídico

Leyes

Ley Aduanera.

D.O.F. 15-XII-1995, última reforma D.O.F. 01-06-2018

Códigos

Código Fiscal de la Federación.

D.O.F. 31-XII-1981, última reforma D.O.F. 25-06-2018

Reglamentos

Reglamento de la Ley Aduanera.

D.O. F. 20-IV-2015.

Reglamento Interior del Servicio de Administración Tributaria.

D.O.F. 24-VIII-2015.

Otras Disposiciones

Reglas Generales de Comercio Exterior vigentes.






8

III. Glosario de definiciones y acrónimos

Para los efectos de los presentes lineamientos, se entiende por:

ACAJA, Administración Central de Apoyo Jurídico de Aduanas.

ACMA, Administración Central de Modernización Aduanera.

Activo, Es cualquier cosa que tiene valor para el prevalidador o aspirante.

Existen muchos tipos de activos, tales como: información, software

(como un programa informático), físicos (como una computadora),

servicios, conocimientos, habilidades y experiencia de las personas.

AGA, Administración General de Aduanas.

Aspirante, Persona interesada en obtener la autorización para prestar los

servicios de prevalidación electrónica de datos contenidos en los

pedimentos de conformidad con el artículo 16-A de la Ley Aduanera.

Autorizado, Persona que cuenta con la autorización para prestar los servicios de

prevalidación electrónica de datos contenidos en los pedimentos

conforme al artículo 16-A de la Ley Aduanera.

Ficha de

trámite

24/LA

Instructivo de trámite para prestar los servicios de prevalidación

electrónica de datos contenidos en los pedimentos (Regla 1.8.1.)

contenido en el anexo 1-A de las Reglas Generales de Comercio

Exterior.

RGCE Reglas Generales de Comercio Exterior vigentes.

SAT Servicio de Administración Tributaria.

IV. Seguridad de la Información

Los aspirantes o autorizados deben cumplir con los requerimientos a que se refiere la

regla 1.8.2., fracción XV de las RGCE y

numeral 10 de las RGCE. Para ello, a continuación, se presentan los medios de control

de seguridad de la información, mismos que deberán cumplir en su totalidad.

A. Gestión de riesgos






9

1. Descripción del proceso de gestión de riesgos, el cual debe contener las siguientes

directrices:

a) Identificación de escenarios de riesgo: riesgos a los que se encuentra

expuesto el Prevalidador o el Aspirante, por la prestación de sus servicios,

tecnología utilizada, factores humanos, climatológicos y cambios en la

legislación.

b) Categorización o tipificación de los riesgos a los que se encuentra expuesto

el Prevalidador o el Aspirante, y niveles de aceptación del riesgo definidos por

éste.

c) Criterios para reducir los riesgos a niveles aceptables por el Prevalidador o el

Aspirante.

d) Criterios para la revisión permanente de los riesgos e identificar los cambios,

en el entorno que puedan incrementar el nivel de riesgo del Prevalidador o del

Aspirante.

2. Análisis de riesgos realizado por el Prevalidador o el Aspirante, cuyo contenido debe

incluir al menos las actividades relacionadas con la prestación de servicios de

prevalidación electrónica, incluyendo la identificación de riesgos a los que se encuentra

expuesto, categorización y planes de remediación, reducción del impacto o

probabilidad de materialización de los riesgos; el documento debe contemplar riesgos

relacionados con proveedores y todo aquel personal ajeno al Prevalidador que tenga

acceso a la información de los contribuyentes.

B. Política de seguridad de la información

1. Política de seguridad de la información, la cual debe contener:

a) Definición de seguridad de la información del Prevalidador o del Aspirante.

b) Normatividad, legislación y marcos de referencia aplicables al Prevalidador o al

Aspirante.

c) Roles y responsabilidades de la seguridad de la información.

d) Compromiso expreso de la dirección con la seguridad de la información.

e) Lineamientos de seguridad de la información.

f) Penalizaciones por incumplimiento a lo establecido en la política.

g) Lineamientos de atención a situaciones no contempladas en el documento y que

afecten la prestación de servicios de prevalidación electrónica.






10

h) Lineamientos de seguridad de la información para proveedores y todo aquel

personal ajeno al Prevalidador o al Aspirante que tenga acceso a la información de los contribuyentes.

i) Comunicación formal del documento a todo el personal relacionado con la

prestación de servicios de prevalidación electrónica.

j) Control de versiones de la política (fecha, participantes y control de cambios).

k) Periodicidad de revisión de la política.

C. Aspectos organizacionales del prevalidador o aspirante

1. Identificación de los diferentes puestos definidos por el Prevalidador o por el

Aspirante, así como sus respectivos roles, actividades y responsabilidades.

2. Documentación en la que se especifique cómo el Prevalidador o el Aspirante evita el

conflicto de intereses de los diferentes puestos, respecto a sus actividades, roles y

responsabilidades.

3. Descripción del procedimiento mediante el cual el Prevalidador o el Aspirante,

contactará al SAT para reportar fallas de infraestructura o incidentes que pongan en

riesgo la confidencialidad, disponibilidad e integridad de la información de los

contribuyentes.

4. Documentos o formularios de inscripción (RSS, listas de correo y boletines, entre

otros) con grupos de interés especial en seguridad informática y de la información.

5. Política de trabajo remoto para empleados, la cual debe contener:

a) Definición del trabajo remoto para el Prevalidador o para el Aspirante.

b) Condiciones mediante las cuales se autoriza el trabajo remoto.

c) Aprovisionamiento para el trabajo remoto.

d) Periodo de autorización del trabajo remoto.

e) Penalizaciones por incumplimiento de lo establecido en la política.

f) Lineamientos de atención a situaciones no contempladas en el documento y

que afecten la prestación de servicios de prevalidación electrónica.

g) Directrices para la cancelación del aprovisionamiento de trabajo remoto.

h) Control de versiones de la política (fecha, participantes y control de cambios).

i) Periodicidad de revisión de la política.






11

6. Documentación para la autorización del uso de equipos móviles (teléfono celular y

tableta, entre otros) en el manejo de información de los contribuyentes, por cualquier medio (correo electrónico y aplicativos, entre otros).

D. Seguridad en el personal

Antes de la contratación

1. Procedimientos que realiza el Prevalidador o el Aspirante, para la selección del

personal, verificación de desempeño e incidencias presentadas en empleos anteriores.

2. Términos y condiciones del empleo, así como la forma en la que el Prevalidador o el

Aspirante, comunica dicha información al personal en el proceso de contratación.

Durante la contratación

3. Documentación acerca de la capacitación en materia de seguridad de la información,

que el Prevalidador o el Aspirante, provee a los empleados.

Término o cambio

4. Documentación que contenga directrices y procedimientos para la gestión de la

terminación de la relación contractual con los empleados y, en su caso, cuando se

modifiquen las actividades, roles y responsabilidades.

E. Responsabilidad de los activos

1. Documentación en la que se liste el inventario de activos del Prevalidador o el

Aspirante, relacionados con la prestación de servicios de prevalidación electrónica, y

que debe contener:

a) Identificador del activo.

b) Dirección IP del activo.

c) Características del activo (marca, modelo, serie y sistema operativo, entre

otros).

d) Propietario del activo.

e) Responsable del activo.

f) Ubicación física del activo.






12

2. Política de uso aceptable de activos, la cual debe contener:

a) Definición de uso aceptable de activos del Prevalidador o del Aspirante.

b) Directrices bajo las cuales el Prevalidador o el Aspirante debe considerar el uso

aceptable de activos.

c) Penalizaciones por incumplimiento de lo establecido en la política.

d) Lineamientos de atención a situaciones no contempladas en el documento y


e) Control de versiones de la política (fecha, participantes y control de cambios).

f) Periodicidad de revisión de la política.

3. Documentación que describa el procedimiento de retorno de activos tangibles y no

tangibles de los empleados al Prevalidador o al Aspirante, ante el término de la relación

contractual o cambios en las actividades, roles y responsabilidades.

F. Clasificación de la información

1. Política de clasificación de la información, debe contener:

a) Definición de clasificación de información del Prevalidador o del Aspirante.

b) Rubros en los que será clasificada la información.

c) Directrices para la clasificación de información.

d) Penalizaciones por incumplimiento de lo establecido en la política.

e) Lineamientos de atención a situaciones no contempladas en el documento y


f) Control de versiones de la política (fecha, participantes y control de cambios).

g) Periodicidad de revisión de la política.

2. Documentación que describa el procedimiento de etiquetado de la información en

los sistemas de ésta y físicamente cuando la información se encuentre relacionada con

la prestación de servicios de prevalidación electrónica.

3. Documentación que describa las condiciones para manejar la información de

acuerdo a su clasificación ya sea en formato físico o digital.






13

G. Manejo de medios

1. Documentación que describa el procedimiento para administrar el uso de medios

removibles de almacenamiento, que deben ser utilizados por los empleados del

Prevalidador o del Aspirante, bajo estricta necesidad, así como las directrices para el

traslado de los referidos medios dentro y fuera de las oficinas del Prevalidador o del Aspirante, y/o centro de datos relacionado con la prestación de servicios de

prevalidación electrónica.

H. Requerimientos de control de acceso

1. Política de control de accesos a los sistemas, la cual debe contener:

a) Definición de acceso a los sistemas del Prevalidador o del Aspirante.

b) Directrices para el uso y operación de sistemas.

c) Penalizaciones por incumplimiento de lo establecido en la política.

d) Lineamientos de atención a situaciones no contempladas en el documento y


e) Control de versiones de la política (fecha, participantes y control de cambios).

f) Periodicidad de revisión de la política.

2. Documentación que describa las restricciones implementadas por el Prevalidador o

el Aspirante, para el uso de redes y servicios de red ajenos a las actividades, roles y

responsabilidades de los empleados y de los proveedores.

I. Requerimientos de control de acceso y administración de

accesos de usuario

1. Documentación que describa el procedimiento para realizar el registro de usuarios en los sistemas, redes y servicios; así como el procedimiento para inhabilitar el acceso

a los sistemas, redes y servicios relacionados con la prestación de servicios de

prevalidación electrónica.

2. Documentación que describa las condiciones mediante las cuales el Prevalidador o

el Aspirante, otorgará las facilidades y activos necesarios a los empleados para que

desempeñen sus actividades, conforme al puesto.






14

3. Documentación que describa el procedimiento mediante el cual los administradores

de los sistemas relacionados con la prestación de servicios de prevalidación electrónica, gestionan los derechos de acceso a los usuarios, la cual debe contener:

a) Protocolo de alta del empleado.

b) Cambios en actividades, roles y responsabilidades del empleado.

c) Generación y gestión de cuentas privilegiadas en los sistemas.

d) Procedimiento mediante el cual los administradores de los sistemas verifican

que los permisos y niveles de acceso de los empleados correspondan a sus

actividades, roles y responsabilidades.

J. Responsabilidades de los usuarios

1. Documentación que describa el procedimiento de gestión de la información de

autenticación en los sistemas relacionados con la prestación de servicios de

prevalidación electrónica, y que el Prevalidador o el Aspirante, debe seguir para

entregar dicha información a los empleados por primera vez, en caso de que el usuario

solicite cambio de información de autenticación y el cambio obligatorio de información

de autenticación en el primer inicio de sesión de los usuarios.

2. Documentación que describa la comunicación de responsabilidades formalmente a

los empleados.

3. Documentación que describa el procedimiento mediante el cual se asegura que el

inicio de sesión a los sistemas, redes y servicios relacionados con la prestación de

servicios de prevalidación electrónica es protegido contra personal no autorizado o

ajeno al Prevalidador o al Aspirante, implementación de esquemas de autenticación que

permitan que los empleados utilicen contraseñas que cumplan con los requerimientos

del Prevalidador o del Aspirante, así como de mejores prácticas respecto a la longitud

y composición.

4. Documentación que describa las condiciones bajo las cuales se autoriza el uso de

herramientas de gestión y análisis de vulnerabilidades, monitoreo de actividades y de

cualquier otra naturaleza, que puedan ser configuradas para omitir los controles de

seguridad de los sistemas relacionados con la prestación de servicios de prevalidación

electrónica; se debe mantener un registro permanente e independiente del listado de

este tipo de herramientas.

5. Documentación que describa el procedimiento mediante el cual el Prevalidador o el

Aspirante, autoriza el acceso al código fuente de los sistemas y aplicativos relacionados






15

con las actividades del Prevalidador, debe incluir las condiciones necesarias para

solicitar el acceso.

K. Controles de cifrado

1. Política de controles de cifrado, la cual debe contener:

a) Definición de los sistemas, redes y servicios que implementan controles de

cifrado.

b) Condiciones para el uso de controles de cifrado.

c) Administración de llaves utilizadas en los controles de cifrado (uso, resguardo

y disposición, entre otros).

d) Penalizaciones por incumplimiento de lo establecido en la política.

e) Lineamientos de atención a situaciones no contempladas en el documento y


f) Control de versiones de la política (fecha, participantes y control de cambios).

g) Periodicidad de revisión de la política.

L. Áreas seguras

1. Documentación que defina los perímetros de seguridad para las áreas en las que se

realiza el procesamiento de transacciones y de sistemas relacionados con la

prevalidación de pedimentos.

2. Documentación de los controles físicos de acceso al centro de datos del Prevalidador o del Aspirante, dichos controles deben impedir el acceso a personas que no cuenten

con autorización, el Prevalidador o el Aspirante debe mantener un registro permanente

del personal autorizado para acceder al centro de datos relacionado con la prestación

de servicios de prevalidación electrónica.

3. Documentación de los controles físicos de acceso a las oficinas del Prevalidador o

del Aspirante (acceso principal, áreas de carga y descarga, entre otros), dichos

controles deben impedir el acceso a personas no autorizadas, manteniendo un registro

permanente de la entrada y salida del personal autorizado.

4. Documentación en la que se definan medidas diseñadas por el Prevalidador o el

Aspirante, contra incendio, inundaciones, terremotos, manifestaciones y cualquier otro

fenómeno físico, meteorológico o social que ponga en riesgo la prestación de servicios

de prevalidación electrónica.






16

5. Documentación en la que se identifiquen las áreas seguras para el procesamiento de información de los contribuyentes en las oficinas del Prevalidador o del Aspirante, y en

el centro de datos relacionado con la prestación de servicios de prevalidación

electrónica.

M. Equipos

1. Documentación en la que se definan las directrices para la gestión de activos, la cual

debe contener:

a) Condiciones para la instalación de activos en el centro de datos relacionado

con la prestación de servicios de prevalidación electrónica y oficinas del

Prevalidador o del Aspirante.

b) Requerimientos de seguridad en el cableado y redes inalámbricas.

c) Baja de equipos en las oficinas del Prevalidador o del Aspirante, y en el centro

de datos relacionado con la prestación de servicios de prevalidación

electrónica.

d) Reúso de medios de almacenamiento.

e) Destrucción de medios de almacenamiento.

f) Gestión de garantías en medios de almacenamiento.

g) Borrado seguro de medios de almacenamiento.

2. Documentación que describa los equipos que dan soporte a la operación de activos

relacionados con las actividades de prevalidación de pedimentos (plantas de luz,

balanceadores de carga eléctrica, entre otros).

3. Documentación en la que se identifiquen planes de mantenimiento para los activos

relacionados con las actividades del Prevalidador o del Aspirante; dichos planes deben

permitir que en conjunto se cuente con el soporte de 24x7x365 días para los equipos.

4. Documentación en la que se describa el procedimiento para proteger los equipos

que sean utilizados para la prestación de servicios de prevalidación electrónica y que se

encuentren fuera de sus oficinas.

5. Política de escritorio limpio y equipo desatendido, la cual debe contener:

a) Definición de escritorio limpio del Prevalidador o del Aspirante.

b) Definición de equipo desatendido del Prevalidador o del Aspirante.

c) Directrices para que los empleados cuenten con escritorio limpio.






17

d) Directrices para equipos desatendidos.

e) Penalizaciones por incumplimiento de lo establecido en la política.

f) Lineamientos de atención a situaciones no contempladas en el documento y


g) Control de versiones de la política (fecha, participantes y control de cambios).

h) Periodicidad de revisión de la política.

N. Procedimientos y responsabilidades operativas

1. Documentación que incluya el estudio de capacidad tecnológica, de personal e

instalaciones para la prestación de servicios de prevalidación electrónica, esta

capacidad debe ser evaluada y los resultados documentados cada 12 meses (de

acuerdo al calendario fiscal).

Se debe entender como capacidad tecnológica, de personal e instalaciones, a los

activos tecnológicos, servicios, personal e inmuebles que el Prevalidador o Aspirante,

requiere para la prestación de servicios de prevalidación electrónica, dicho documento

se debe actualizar al inicio del periodo de 12 meses y debe incluir protocolos para

realizar ajustes a dicho estudio antes del término del periodo de 12 meses en caso que

la empresa lo requiera.

2. Documentación que incluya el diagrama de interconexión de los activos relacionados

con la prestación de servicios de prevalidación electrónica y los identificadores descritos en el inventario de activos (incisos a y b del área de control E numeral 1), los

activos deben contar con separación física o lógica de los ambientes de desarrollo,

pruebas y producción (operativo).

O. Protección contra código malicioso

1. Documentación que describa las características de la solución que el Prevalidador o

el Aspirante, implementa contra código malicioso (detección, prevención y

recuperación de sistemas).

P. Respaldos

1. Política de respaldos, la cual debe contener:

a) Definición de respaldos del Prevalidador o del Aspirante.






18

b) Roles y responsabilidades para realizar y gestionar respaldos.

c) Listado de sistemas, activos y herramientas que deben ser sujetos a respaldo.

d) Definición de medios de almacenamiento autorizados para realizar respaldos.

e) Directrices para generación de respaldos.

f) Directrices para pruebas de respaldos.

g) Directrices para periodos de resguardo de respaldos.

h) Directrices para destrucción de respaldos.

i) Definición de ubicación física de respaldos fuera del centro de datos relacionado

con la prestación de servicios de prevalidación electrónica.

j) Penalizaciones por incumplimiento de lo establecido en la política.

k) Lineamientos de atención a situaciones no contempladas en el documento y que

afecten la prestación de servicios de prevalidación electrónica.

l) Control de versiones de la política (fecha, participantes y control de cambios).

m) Periodicidad de revisión de la política.

Q. Registro y monitoreo

1. Documentación que permita identificar los registros de actividades de los sistemas

de información, sistemas operativos y cualquier otro activo relacionado a la prestación

de servicios de prevalidación electrónica, los referidos registros deben contener:

a) Identificador del usuario que realiza la actividad.

b) Descripción de la actividad realizada.

c) Origen de la conexión al sistema.

d) Resultado de la actividad efectuada.

e) Todos los registros deben ser generados solo como lectura para todos los

usuarios.

f) Controles contra pérdida, destrucción, falsificación, acceso no autorizado y

distribución no autorizada.

El Prevalidador o el Aspirante debe generar registros de actividades independientes

para administradores y cuentas privilegiadas, para lo cual debe contemplar lo descrito

en el inciso e).

2. Documentación técnica del protocolo NTP, equipo o servicio que implemente este

protocolo utilizado para la sincronización de relojes de los sistemas, redes y servicios

de red relacionados con la prestación de servicios de prevalidación electrónica.






19

R. Control de software operativo 1. Documentación que describa las configuraciones de los activos relacionados con la

prestación de servicios de prevalidación electrónica, equipos de los empleados y

equipos de red, debe contener:

a) Para equipos de empleados:

i. Protección del BIOS.

ii. Limitación de derechos de acceso a configuraciones de sistema.

iii. Configuración de bloqueo automático por tiempo de inactividad.

iv. Restricción de instalación de programas.

v. Inhabilitación de puertos físicos utilizados en transferencia de

información o almacenamiento (salvo autorización formal).

vi. Configuraciones de seguridad del fabricante (no deben derivar en

incumplimiento de políticas del Prevalidador electrónico).

b) Para activos relacionados con las actividades del Prevalidador o del Aspirante:

i. Protección del BIOS.

ii. Configuración de puertos, protocolos y servicios requeridos para su

operación.

iii. Configuración de registros de actividades.

iv. Inhabilitación de puertos, protocolos y servicios no requeridos para su operación.

v. Inhabilitación de puertos físicos utilizados en transferencia de

información o almacenamiento (salvo autorización formal).

vi. Instalación de sistema operativo en partición exclusiva.

vii. Configuración de reglas de filtrado de paquetes, detección y prevención

de intrusos.

viii. Configuraciones de seguridad del fabricante (no deben derivar en

incumplimiento de políticas del Prevalidador o Aspirante).

c) Para equipos de red:

i. Configuración de registros de actividades.

ii. Configuración de gestión de tráfico de paquetes.

iii. Controles de seguridad en redes expuestas e internas en las oficinas del

Prevalidador o del Aspirante y centro de datos relacionado con la

prestación de servicios de prevalidación electrónica.

iv. Segregación de redes.






20

S. Administración de vulnerabilidades técnicas

1. Documentación que describa el procedimiento mediante el cual el Prevalidador o el

Aspirante gestiona las vulnerabilidades técnicas de los activos relacionados con la

prestación de servicios de prevalidación electrónica, en equipos de los empleados y

equipos de red, los cuales deben contener:

a) Calendarización de análisis de vulnerabilidades.

b) Protocolo de análisis de vulnerabilidades.

c) Documentación de resultados de análisis de vulnerabilidades.

d) Clasificación de vulnerabilidades.

e) Diseño de planes de remediación de vulnerabilidades.

f) Pruebas de penetración para activos críticos.

g) Documentación de resultados de pruebas de penetración.

h) Diseño de planes de remediación de resultados de pruebas de penetración.

T. Transferencia de información

1. Documentación que describa los controles implementados para la protección de

transferencia de información contra intercepción, copia no autorizada, modificación,

borrado, pérdida y transmisión de código malicioso; el Prevalidador o el Aspirante, debe

contar con acuerdos firmados de transferencia de información con proveedores.

2. Acuerdos de confidencialidad celebrados con empleados y proveedores (se solicitará

una muestra física y digital de originales durante la verificación).

U. Seguridad en el desarrollo y procesos de soporte

1. Documentación que permita identificar controles implementados por el Prevalidador

o Aspirante, para servicios expuestos, la cual debe contener:

a) Controles de seguridad contra fraudes y exposición de información, entre

otros.

b) Controles para evitar transmisión incompleta de transacciones, mal

enrutamiento, alteración de mensajes, revelación de información, copia no

autorizada y respuestas no autorizadas.

2. Política de desarrollo seguro, la cual debe contener:






21

a) Definición de desarrollo seguro del Prevalidador o del Aspirante.

b) Marco de referencia de desarrollo seguro, se debe incluir la referencia en la

documentación de cada desarrollo.

c) Directrices de seguridad para desarrollos internos y requeridos a proveedores.

d) Directrices de aceptación de desarrollos.

e) Directrices para definir la propiedad intelectual de los desarrollos contratados

con terceros.

f) Restricciones de cambios en software de propósito general (ofimática, diseño

y base de datos, entre otros).

g) Entorno seguro para desarrollos realizados por empleados.

h) Penalizaciones por incumplimiento de lo establecido en la política.

i) Lineamientos de atención a situaciones no contempladas en el documento y




3. Documentación que describa la gestión de cambios en los sistemas relacionados con

la prestación de servicios de prevalidación electrónica, debe contener:

a) Protocolo de control de cambios.

b) Formatos utilizados para el control de cambios.

c) Esquema de autorización de control de cambios.

d) Pruebas de los cambios en ambientes de desarrollo, pruebas y producción

(operación).

e) Documentación de resultados de pruebas.

f) Pruebas después de la liberación del cambio.

g) Documentación de resultados de pruebas.

h) Registro de control de versiones de los desarrollos.

i) Resguardo de repositorios de versiones de desarrollos.

V. Seguridad de la información en relaciones con proveedores y

gestión de prestación de servicios de los proveedores

1. Política de relaciones con proveedores, la cual debe contener:

a) Definición de relaciones con proveedores del Prevalidador o del Aspirante.

b) Directrices para definir alcance y objetivo de los acuerdos con proveedores.






22

c) Directrices para definir las condiciones de entrega de servicio de los

proveedores.

d) Directrices para autorizar el acceso a la información de contribuyentes a los

proveedores.

e) Controles de seguridad para los servicios.

f) Inclusión de cláusula de auditoría para la contratación de servicios con

proveedores.

g) Directrices para realizar cambios en las condiciones de entrega de servicios.

h) Penalizaciones por incumplimiento de lo establecido en la política.

i) Lineamientos de atención a situaciones no contempladas en el documento y




W. Administración de incidentes de seguridad de la información y

mejoras

1. Documentación que describa el protocolo de atención a incidentes que afecten la

confidencialidad, integridad o disponibilidad de la información de los contribuyentes, la

cual debe contener:

a) Roles y responsabilidades.

b) Clasificación de incidentes.

c) Documentación de incidentes.

d) Recolección de evidencia del incidente.

e) Alimentación de base de conocimientos.

f) Tabla de escalamiento.

g) Tiempos de respuesta.

h) Directrices para remediación de incidentes.

X. Redundancias

1. Documentación que describa los esquemas de alta disponibilidad que el Prevalidador

o del Aspirante, implementa para las actividades relacionadas con la prestación de

servicios de prevalidación electrónica.

Y. Continuidad de la seguridad de la información 1. Documentación que describa los planes de continuidad del Prevalidador o del

Aspirante, la cual deben contener:






23

a) Determinación de escenarios que pongan en riesgo la continuidad del negocio.

b) Roles y responsabilidades.

c) Protocolos de respuesta ante ocurrencia de los escenarios descritos en el inciso

a).

d) Documentación de resultados de la ejecución.

e) Diseño de pruebas.

f) Acondicionamiento para realizar pruebas.


h) Adecuaciones a los planes.

i) Revisión periódica de los planes.

2. Documentación que describa los planes de recuperación de desastres del

Prevalidador o del Aspirante, los cuales deben contener:

a) Determinación de escenarios que el Prevalidador o Aspirante identifique como

desastre.

b) Roles y responsabilidades.

c) Protocolos de respuesta ante ocurrencia de los escenarios descritos en el inciso

a).

d) Documentación de resultados de la ejecución.

e) Diseño de pruebas.

f) Acondicionamiento para realizar pruebas.


h) Adecuaciones a los planes.

i) Revisión periódica de los planes.

Z. Revisión de seguridad de la información

1. Documentación en la que se defina un calendario de verificaciones independientes

de seguridad de la información. El término independiente se refiere a que debe llevarse

a cabo por personal que no haya participado en el diseño o implementación de los

controles o que pertenezca a las áreas evaluadas, el personal puede ser interno o

externo.

2. Procedimientos para proporcionar a los usuarios la asistencia técnica necesaria con

relación al enlace para la transmisión de información y prevalidación de los pedimentos.






24

V.Procedimiento para obtener el oficio de validación y opinión

técnica.

Los prevalidadores o aspirantes interesados en obtener el oficio de validación y opinión

técnica emitido por la ACAJA, con el que se acredite el cumplimiento de las obligaciones

a que se refiere la Regla 1.8.2. fracciones X y XV de las RGCE y la ficha de trámite 24/LA

que se señala a continuación:

a) Solicitud de validación y opinión técnica

La solicitud se deberá presentar ante la ACAJA sita en Avenida Hidalgo 77, Módulo IV,

Planta baja, Colonia Guerrero, Delegación Cuauhtémoc, Código Postal 06300, Ciudad

de México en los horarios señalados en la Regla 1.2.4 de las RGCE, mediante escrito libre cumpliendo con lo dispuesto en la Regla 1.2.2. de las RGCE, en relación con los

artículos 18 y 18-A del Código Fiscal de la Federación con la firma autógrafa del

representante legal de la persona moral solicitante, y con la siguiente información:

1. Nombre, números telefónicos, correo electrónico y cargo dentro de la empresa

de la persona que se designa como contacto único con el SAT para

efectos del presente procedimiento.

2. Dirección de correo electrónico y números telefónicos del representante legal.

3. Domicilios de las instalaciones en las que se lleva a cabo la operación del

Prevalidador o del Aspirante y sus centros de datos, indicando:

a) Calle, numero interior, número y/o letra exterior, número y/o letra interior,

colonia, código postal, municipio o delegación y Entidad Federativa.

b) Informar si se trata de matriz, sucursal, centro de datos u otro.

4. Deberá contener la siguiente leyenda Manifiesta mi representada que cumple

completamente con los puntos contenidos en los presentes lineamientos y

cuenta con evidencia del cumplimiento de cada uno de los puntos ahí

expresados

5. Solicitud expresa al SAT para que realice las verificaciones respecto de

seguridad de la información.






25

6. Leyenda que contenga lo Manifiesto que mi representada facilitará

los elementos para la realización de la verificación de la seguridad de la

Lineamientos que deben de

observar quienes tengan la autorización para prestar los servicios de

prevalidación electrónica de pedimentos , así

como con lo dispuesto en la Regla 1.8.2, fracciones X y XV de las Reglas

7. Anexar en medio magnético la evidencia que acredite el cumplimiento de

cada uno de los puntos señalados en los presentes lineamientos, detallando

en el escrito de solicitud a qué punto particular se refiere cada evidencia y

contener los HASH MD5 (VER ANEXO 1) correspondientes a cada archivo o

contenidos en un sólo archivo en formato zip, en la solicitud se deberá indicar

la cantidad de archivos y carpetas que contiene el medio magnético.

En caso de que los documentos o la información proporcionada al SAT,

contenga información confidencial, reservada o comercial reservada en

términos de las disposiciones jurídicas aplicables, deberán señalarlo

expresamente indicando la información que tenga ese carácter.

8. Se deberá anexar el formato señalado en el ANEXO 3, en el cual se informe

cómo cumple con lo establecido en cada uno de los controles de seguridad a

que se refieren la fracción IV de los presentes lineamientos, por lo que deberá

anexar los procedimientos en idioma español que, en su caso, se requieran, o

brindar una explicación detallada de lo solicitado en el campo de

, el cual es informativo y no vinculante.

En caso de que la solicitud se encuentre incompleta o el medio magnético no

contenga la documentación descrita en la solicitud o el mismo presente

inconsistencias, la ACAJA requerirá por única ocasión al solicitante, para que, en un

plazo de diez días hábiles a partir del día siguiente a su notificación, presente escrito con la firma autógrafa del representante legal, presentando la información o

documentación faltante. En caso de no presentarla, completa y correctamente en

el plazo señalado, la solicitud se tendrá por no presentada.






26

b) Verificación en sitio.

La ACAJA, notificará al Prevalidador autorizado o al Aspirante, según sea el caso, el

oficio en el cual se informará, el periodo en que se realizará la verificación en sitio y los

nombres de los servidores públicos que instrumentarán dicha verificación.

Para la instrumentación de la verificación en sitio se estará a lo siguiente:

1. La verificación se realizará en el lugar o lugares señalados y en el periodo

previamente notificado, misma que deberá ser atendida por el enlace único

designado y/o por el representante legal del Prevalidador o del Aspirante, según

sea el caso, quien deberá presentar copia de su identificación oficial y el original

para el cotejo correspondiente.

En caso de la verificación en sitio se atienda con el representante legal, éste podrá

designar en el acto a una persona como contacto con el SAT para efectos del

presente procedimiento.

2. Los servidores públicos que acudan a la verificación en sitio se identificarán ante

el contacto designado y/o ante el respresentante legal.

Asimismo, se le requerirá para que designe dos testigos; si éstos no son

designados o los designados no aceptan fungir como tales, el personal del SAT

los designará, haciendo constar esta situación en el acta que levante, sin que esta

circunstancia invalide los resultados de la verificación.

3.El personal actuante levantará acta en la que se harán constar en forma

circunstanciada los hechos, así como la información y fotografías recabada

durante la verificación.

Las fotografias se solicitarán por parte del SAT al contacto único o representante

legal del prevalidador o aspirante, con el exclusivo propósito de documentar las

evidencias presentadas por el prevalidador o aspirante.

4. Para el cierre de la verificación en sitio deberá asistir el representante legal del autorizado o aspirante o bien, la persona debidamente facultada por el mismo,

quien firmará el acta de conclusión de la verificación.

En caso de que el representante legal, la persona designada o los testigos se

nieguen a firmar el acta, o la persona con quien se entendió la diligencia se niega






27

a aceptar copia del acta, dicha circunstancia se asentará en la misma acta, sin que

esto afecte su validez y valor probatorio, dándose por concluida la verificación.

c) Oficio de resultados

En caso de que no se acredite el 100% de los controles de seguridad de la información

a que se refieren los presentes Lineamentos, relativos a las fracciones X y XV, de la

regla 1.8.2., se notificará el oficio de resultados con las observaciones correspondientes

al Prevalidador.

El porcentaje de cumplimiento [% cumplimiento], se calcula con base en las 221 claves

de los controles de seguridad indicados en el Anexo 4 [totalidad de claves de los

controles], por lo tanto, el 100% de cumplimiento corresponde a la acreditación de los

221 controles y se calcula con la siguiente formula:

% 𝐶𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 = (𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑎𝑐𝑟𝑒𝑑𝑖𝑡𝑎𝑑𝑜𝑠

𝑇𝑜𝑡𝑎𝑙𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑙𝑎𝑣𝑒𝑠 𝑑𝑒 𝑙𝑜𝑠 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 ) × (100)

El Prevalidador podrá presentar escrito libre ante la ACAJA, dentro de los dos meses

posteriores a la notificación del oficio de resultados, respecto de los controles que no

se cumplieron en la verificación y que fueron dados a conocer adjuntando la siguiente

información y documentación:

1. Anexar en medio magnético la evidencia que acredite el cumplimiento de los

citados controles, detallando en el escrito de solicitud a qué punto particular

se refiere cada evidencia y contener el HASH MD5 (VER ANEXO 1)

correspondiente al archivo en formato zip, que contenga la totalidad de la información y documentación, en el escrito se deberá indicar la cantidad de

archivos y carpetas que contiene el citado archivo zip.

En caso de que los documentos o la información proporcionada al SAT,

contenga información confidencial, reservada o comercial reservada en

términos de las disposiciones jurídicas aplicables, deberán señalarlo

expresamente indicando la información que tenga ese carácter.

2. Se deberá anexar el formato señalado en el ANEXO 3, en el cual se informe

cómo cumple con lo establecido en cada uno de los controles de seguridad,

por lo que deberá anexar los procedimientos en idioma español que, en su

caso, se requieran, o brindar una explicación detallada de lo solicitado en el






28

campo de , el cual es informativo y no vinculante.

3. Tratándose de aquellos controles que por su complejidad o dificultad en su

implementación no puedan ser acreditados a la presentación del escrito a que

se refiere el párrafo tercero del presente apartado, el prevalidador deberá

presentar un programa de trabajo en el que desglose la forma y

calendarización en que llevará a cabo la implementación de los mismos. Dicho

programa de trabajo deberá considerar la conclusión e implementación de todas las acciones en un plazo máximo que no podrá exceder del 1 de julio de

2019.

Una vez concluido e implementado el programa de trabajo señalado en el

párrafo anterior, el Prevalidador deberá presentar escrito en el que se

adjunten los documentos señalados en los numerales 1 y 2, relativos a los

controles faltantes.

4. Cuando el prevalidador, no acredite el cumplimiento de alguno de los controles

en los términos señalados en los presentes lineamientos, en virtud de contar

con un mecanismo con el que estima que cumple con el objetivo del control,

deberá manifestarlo en un documento en el que se especificarán los

mecanismos o medidas alternas con los cuales se da cumplimiento a dicho

control, lo anterior, será valorado por el SAT, quien resolverá lo conducente.

Si derivado de la revisión a los elementos proporcionados por el Prevalidador, se

acredita el cumplimiento de los controles de seguridad de la información a que se

refieren las fracciones X y XV de la regla 1.8.2., en un porcentaje igual o superior al 80%

del total de lo requerido, se notificará el oficio de resultados, debiendo entenderse que

se tiene por atendido lo previsto en el penúltimo párrafo de la regla 1.8.1.

Para todos los casos, se dejan a salvo las facultades de comprobación de la autoridad

aduanera, para verificar el cumplimento de la totalidad de los controles a que se

refieren los presentes lineamientos, relacionados con las fracciones X y XV de la regla

1.8.2., en cualquier tiempo, a partir del 1 de julio de 2019, en donde la autoridad

resolverá lo conducente.

d) Entrega de oficio de validación y opinión técnica

Posterior a la verificación, cuando corresponda, la ACAJA notificará el oficio de

respuesta a la solicitud de validación y opinión técnica, en el cual se indicará si el

prevalidador o aspirante cumple con lo descrito en los presentes lineamientos.






29

Tratándose de los aspirantes, cuando no acrediten el 100 % de los controles, podrán

presentar una nueva solicitud para obtener el oficio de validación y opinión técnica

favorable a que se refiere la fracción XV de la regla 1.8.2., sin que exceda de dos

solicitudes en un año calendario.

VI.Continuidad en operaciones

Las personas autorizadas podrán continuar prestando los servicios de prevalidación

electrónica de datos, contenidos en los pedimentos, siempre que se haya notificado el

oficio de resultados, en el que se les informe que han acreditado un porcentaje igual o

superior al 80% de atención del total de lo referido en las fracciones X y XV de la regla

1.8.2., o en su caso, cuando hayan presentado escrito con el respectivo programa de

trabajo, en términos de lo previsto en el inciso c del anterior numeral V.

Lo anterior, aplicará durante el periodo en que se resuelva su escrito según

corresponda, para el caso de que con posterioridad al 1 de julio de 2019, las

autoridades aduaneras en ejercicio de sus facultades detecten el incumplimiento de los

previsto en las fracciones X y XV de la regla 1.8.2., procederán conforme a lo señalado

en las disposiciones jurídicas aplicables.

VII.Carta Compromiso de Confidencialidad, Reserva y

Resguardo de Información y datos

Para efectos de la fracción VI de la Regla 1.8.2. RGCE en el anexo 2 de los presentes

lineamientos, se encuentra el formato de Carta Compromiso de Confidencialidad,

Reserva y Resguardo de Información y datos, que se deberá presentar debidamente

firmada por el representante legal del prevalidador o aspirante ante la ACAJA y deberá

renovarse cuando exista cambio en la representación legal.






30

Elaboró

Elaboró

-------------------------------------------

-

Administradora de Modernización

-----------------------------------------------

-

Administrador de Apoyo Jurídico de

3

Elaboró

-------------------------------------------

-

Administrador de Apoyo Jurídico de






31

Anexo 1

Función Hash

Es un algoritmo que consigue crear a partir de una entrada (ya sea un texto, una

contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud

normalmente fija que representa un resumen de toda la información que se le ha dado,

(es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a

crear con esos mismos datos). El utilizar la función Hash da como resultado un

identificador único para la adquisición de datos. El uso de esta función es la de

garantizar la integridad de los datos. Tanto MD5 y SHA-256 son algoritmos que se

utilizan comúnmente para identificar de manera casi univoca el contenido de los

archivos.

Los algoritmos disponibles y el tamaño del valor Hash resultante se muestran en la

siguiente tabla:

Descripción Resultado

MD5 128 bits

SHA-256 256 bits Ejemplo:


https://www.google.com.mx/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjcjK6aluvVAhVSHGMKHUgHBJsQjRwIBw&url=https://sites.google.com/site/wikiade2631/c-el-comerc-electronic-b2b/c-3-la-factura-electronica&psig=AFQjCNFeVjB9KRHC3hamjxfPMz7ne_c38w&ust=1503502691573743





32

Anexo 2

Carta Compromiso de Confidencialidad, Reserva y

Resguardo de Información y datos.

CIUDAD DE MÉXICO, A __DE ____________ DE ____.

SERVICIO DE ADMINISTRACIÓN TRIBUTARIA

Administración General de Aduanas

Administración Central de Apoyo Jurídico de Aduanas

P R E S E N T E:

En la Ciudad de _____________, siendo las _____ horas del día _____ de ______

de ___, el C. _______________, quien cuenta con credencial para votar, expedida

por el Instituto Nacional Electoral con clave de elector ___________, en nombre y

representación legal de la sociedad ____________, en lo sucesivo el OBLIGADO,

misma que se anexa en copia simple como anexo del presente documento, en este

acto suscribe la presente carta compromiso mediante la cual, en nombre y

representación del OBLIGADO, acepta formalmente las condiciones de resguardo,

reserva, custodia y protección de la seguridad y confidencialidad de todo tipo de

información y documentos propiedad del Servicio de Administración Tributaria (SAT)

en lo particular de la que tenga conocimiento.

CONDICIONES DEL SAT QUE EL OBLIGADO SE COMPROMETE A OBSERVAR:

1. Toda la información de los pedimentos y sus anexos está considerada así como la

proporcionada por el SAT, según el caso, como reservada y confidencial, en los

términos de las leyes aplicables, por lo que este último se obliga a protegerla,

reservarla, resguardarla y no divulgarla, utilizándola única y exclusivamente para

llevar a cabo y cumplir con las actividades y obligaciones que expresamente le

confiere la autorización para prestar los servicios de prevalidación electrónica de

datos contenidos en los pedimentos, así como la normatividad aplicable a la

misma.






33

2. Es responsabilidad del OBLIGADO que el personal a su cargo que intervenga en

cualquiera de las actividades como pravalidador autorizado, reserve, proteja,

guarde y custodie la información y documentación propiedad del SAT, así como a

restituirla cuando este último se lo requiera.

En el entendido de que el OBLIGADO en ningún momento revelará o hará uso de

la información confidencial y reservada.

3. A partir de que le sea otorgada la autorización para operar como persona

autorizada para prevalidar pedimentos y aun en los años posteriores a que no

se cuente con la autorización, el OBLIGADO deberá mantener la más estricta

confidencialidad de toda la información y documentación que le sea revelada por

el SAT, por lo que bajo ninguna circunstancia divulgará dicha información y

documentación, ni la aprovechará para su beneficio o el de terceros.

Por ningún motivo el OBLIGADO elaborará copias o reproducciones de la

información que le sea proporcionada en forma directa o indirecta.

4. El SAT tendrá derecho de exigir en cualquier momento al OBLIGADO la

devolución de la información que le haya proporcionado de forma directa o

indirecta, derivado de la actividad como prevalidador de pedimentos, durante o

después de la vigencia de la autorización obtenida.

5. El OBLIGADO será responsable en caso de que la información sea divulgada por

su personal en activo o aquél que haya laborado y que hubiere tenido acceso a la

información antes mencionada.

6. El OBLIGADO no podrá transmitir o ceder en forma alguna los derechos y

obligaciones que asume en virtud de la presente carta y de la autorización

obtenida.

Cualquier aviso o requerimiento que el OBLIGADO y el SAT deban hacerse con

motivo de la presente carta deberá ser enviado por escrito.

El C. _________________, en su carácter de representante legal acepta haber leído

y comprendido las condiciones de resguardo, reserva, custodia y protección de la

seguridad y confidencialidad de todo tipo de información y documentación de que

tenga conocimiento, con motivo de su actividad como Prevalidador de pedimentos,

descritas en este documento y declara bajo protesta de decir verdad, en nombre de la

persona moral _________, como a título personal, que se compromete a cumplirla en






34

su totalidad, sin menoscabo de las demás obligaciones y prohibiciones establecidas en

la normatividad fiscal aplicable, en el entendido de que el incumplimiento a cualquiera

de estas será causa de la aplicación de las sanciones correspondientes e inclusive la

cancelación de la autorización.

______________________________

(NOMBRE Y FIRMA DEL

REPRESENTANTE LEGAL)

(NOMBRE O RAZÓN SOCIAL DE LA

EMPRESA)

(NÚMERO TELEFÓNICO DE LA

EMPRESA)

(E-MAIL DE LA EMPRESA)






35

Anexo 3

NÚMERAL Y DESCRIPCIÓN DEL CONTROL:

(INDICA EL CONTROL SOBRE EL CUAL SE REFIERE LA RESPUESTA Y OBSERVACIONES)

Respuesta : OBSERVACIONES

(INDICAR Y DESCRIBIR LA FORMA EN QUE EL PREVALIDADOR O ASPIRANTE CUMPLE

CON EL CONTROL Y LAS EVIDENCIAS GENERADAS PARA DEMOSTRAR DICHO

CUMPLIMIENTO)

CAMPO OPCIONAL PARA

PRECISAR O AMPLIAR LA

RESPUESTA.

*Este formato se deberá presentar por cada control

EJEMPLO:

NÚMERAL Y DESCRIPCIÓN DEL CONTROL:


1.

a) Identificación de escenarios de riesgo: riesgos a los que se encuentra

expuesto el Prevalidador o el Aspirante, por la prestación de sus

servicios, tecnología utilizada, factores humanos, climatológicos y

cambios en la legislación.

Respuesta : OBSERVACIONES

Anexo 4

Claves de los controles de seguridad






36

MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE


1.-Descripción del proceso de

gestión de riesgos, el cual

debe contener las siguientes

directrices:

a) Identificación de escenarios de

riesgo: riesgos a los que se encuentra

expuesto el Prevalidador o el

Aspirante, por la prestación de sus

servicios, tecnología utilizada,

factores humanos, climatológicos y

cambios en la legislación .

A.1.a

b) Categorización o tipificación de los

riesgos a los que se encuentra

expuesto el Prevalidador o el

Aspirante, y niveles de aceptación del

riesgo definidos por éste.

A.1.b

c) Criterios para reducir los riesgos a

niveles aceptables por el Prevalidador

o el Aspirante

A.1.c

d) Criterios para la revisión

permanente de los riesgos e

identificar los cambios, en el entorno

que puedan incrementar el nivel de

riesgo del Prevalidador o del

Aspirante

A.1.d

2.-Análisis de riesgos

realizado por el Prevalidador o

el Aspirante

El contenido debe incluir al menos las

actividades relacionadas con la

prestación de servicios de

Prevalidación electrónica, incluyendo

la identificación de riesgos a los que

se encuentra expuesto,

categorización y planes de

remediación, reducción del impacto o

probabilidad de materialización de los

riesgos; el documento debe

contemplar riesgos relacionados con

proveedores y todo aquel personal

ajeno al Prevalidador que tenga

acceso a la información de los

contribuyentes.

A.2

B. Política de

seguridad de la

información

1.-Política de seguridad de la

información, la cual debe

contener:

a) Definición de seguridad de la

información del Prevalidador o del

Aspirante.

B.1.a

b) Normatividad, legislación y marcos

de referencia aplicables al

Prevalidador o al Aspirante

B.1.b

c) Roles y responsabilidades de la

seguridad de la información. B.1.c






37


d) Compromiso expreso de la

dirección con la seguridad de la

información.

B.1.d

e) Lineamientos de seguridad de la

información. B.1.e

f) Penalizaciones por incumplimiento

a lo establecido en la política. B.1.f

g) Lineamientos de atención a

situaciones no contempladas en el

documento y que afecten la

prestación de servicios de pre-

validación electrónica.

B.1.g

h) Lineamientos de seguridad de la

información para proveedores y todo

aquel personal ajeno al Prevalidador o

al Aspirante que tenga acceso a la

información de los contribuyentes.

B.1.h

i) Comunicación formal del

documento a todo el personal

relacionado con la prestación de

servicios de pre-validación

electrónica.

B.1.i

j) Control de versiones de la política

(fecha, participantes y control de

cambios).

B.1.j

k) Periodicidad de revisión de la

política. B.1.k

C. Aspectos

organizacionales

1.-Identificación de los diferentes puestos definidos por el

Prevalidador o por el Aspirante, así como sus respectivos roles,

actividades y responsabilidades.

C.1

2.-Documentación en la que se especifique cómo el Prevalidador o el

Aspirante evita el conflicto de intereses de los diferentes puestos,

respecto a sus actividades, roles y responsabilidades

C.2

3.-Descripción del procedimiento mediante el cual el Prevalidador o el

Aspirante, contactará al SAT para reportar fallas de infraestructura o

incidentes que pongan en riesgo la confidencialidad, disponibilidad e

integridad de la información de los contribuyentes.

C.3

4.-Documentos o formularios de inscripción (RSS, listas de correo y

boletines, entre otros) con grupos de interés especial en seguridad

informática y de la información.

C.4

5.- Política de trabajo remoto

para empleados, la cual debe

contener:

a) Definición del trabajo remoto para

el Prevalidador o para el Aspirante C.5.a

b) Condiciones mediante las cuales se

autoriza el trabajo remoto. C.5.b

c)Aprovisionamiento para el trabajo

remoto. C.5.c






38


d) Periodo de autorización del trabajo

remoto. C.5.d

e) Penalizaciones por incumplimiento

a lo establecido en la política. C.5.e

f) Lineamientos de atención a



prestación de servicios de pre-

validación electrónica.

C.5.f

g) Directrices para la cancelación del

aprovisionamiento de trabajo

remoto.

C.5.g

h) Control de versiones de la política


cambios).

C.5.h

i) Periodicidad de revisión de la

política. C.5.i

6.- Documentación para la autorización del uso de equipos móviles

(teléfono celular y tableta, entre otros) en el manejo de información

de los contribuyentes, por cualquier medio (correo electrónico y

aplicativos, entre otros)

C.6

D. Seguridad en el

personal

Antes de la contratación

1.-Procedimientos que realiza el

Prevalidador o el Aspirante, para la

selección del personal, verificación de

desempeño e incidencias presentadas

en empleos anteriores.

D.1

2.-Términos y condiciones del

empleo, así como la forma en la que el

Prevalidador o el Aspirante, comunica

dicha información al personal en el

proceso de contratación.

D.2

Durante la contratación

3.-Documentación acerca de la

capacitación en materia de seguridad

de la información, que el Prevalidador

o el Aspirante, provee a los

empleados.

D.3

Término o cambio

4.-Documentación que contenga

directrices y procedimientos para la

gestión de la terminación de la

relación contractual con los

empleados y, en su caso, cuando se

modifiquen las actividades, roles y

responsabilidades.

D.4

E. Responsabilidad de

los activos

1.- Documentación en la que

se liste el inventario de

a)Identificador del activo. E.1.a

b)Dirección IP del activo. E.1.b






39


activos del Prevalidador o el

Aspirante, relacionados con la


prevalidación electrónica, y

que debe contener:

c)Características del activo (marca,

modelo, serie y sistema operativo,

entre otros).

E.1.c

d)Propietario del activo. E.1.d

e)Responsable del activo. E.1.e

f)Ubicación física del activo. E.1.f

2. Política de uso aceptable de

activos, la cual debe contener:

a) Definición de uso aceptable de

activos del Prevalidador o del

Aspirante.

E.2.a

b) Directrices bajo las cuales el

Prevalidador o el Aspirante debe

considerar el uso aceptable de

activos.

E.2.b

c) Penalizaciones por incumplimiento

de lo establecido en la política. E.2.c

d) Lineamientos de atención a




Prevalidación electrónica.

E.2.d

e) Control de versiones de la política


cambios).

E.2.e

f) Periodicidad de revisión de la

política. E.2.f

3.-Documentación que describa el procedimiento de retorno de

activos tangibles y no tangibles de los empleados al Prevalidador o al

Aspirante, ante el término de la relación contractual o cambios en las

actividades, roles y responsabilidades.

E.3

F. Clasificación de la

Información

1.- Política de clasificación de

la información, debe

contener:

a)Definición de clasificación de

información del Prevalidador o del

Aspirante.

F.1.a

b) Rubros en los que será clasificada

la información. F.1.b

c) Directrices para la clasificación de

información. F.1.c

d) Penalizaciones por incumplimiento

de lo establecido en la política. F.1.d

e) Lineamientos de atención a





F.1.e






40


f) Control de versiones de la política


cambios).

F.1.f

g) Periodicidad de revisión de la

política F.1.g

2.-Documentación que describa el procedimiento de etiquetado de la

información en los sistemas de ésta y físicamente cuando la

información se encuentre relacionada con la prestación de servicios

de Prevalidación electrónica

F.2

3.-Documentación que describa las condiciones para manejar la

información de acuerdo a su clasificación ya sea en formato físico o

digital

F.3

G. Manejo de medios

1.-Documentación que describa el procedimiento para administrar el

uso de medios removibles de almacenamiento, que deben ser

utilizados por los empleados del Prevalidador o del Aspirante, bajo

G.1-1

...así como las directrices para el traslado de los referidos medios

dentro y fuera de las oficinas del Prevalidador o del Aspirante, y/o

centro de datos relacionado con la prestación de servicios de


G.1-2

H. Requerimientos de

control de acceso

1.- Política de control de

accesos a los sistemas, la cual

debe contener:

a) Definición de acceso a los sistemas

del Prevalidador o del Aspirante. H.1.a

b ) Directrices para el uso y operación

de sistemas. H.1.b

c) Penalizaciones por incumplimiento

de lo establecido en la política. H.1.c

d) Lineamientos de atención a





H.1.d

e) Control de versiones de la política


cambios).

H.1.e

f) Periodicidad de revisión de la

política. H.1.f

2.-Documentación que describa las restricciones implementadas por

el Prevalidador o el Aspirante, para el uso de redes y servicios de red

ajenos a las actividades, roles y responsabilidades de los empleados y

de los proveedores

H.2

I. Requerimientos de

control de acceso y

administración de

accesos de usuario

1.-Documentación que describa el procedimiento para realizar el

registro de usuarios en los sistemas, redes y servicios; así como el

procedimiento para inhabilitar el acceso a los sistemas, redes y

servicios relacionados con la prestación de servicios de Prevalidación

electrónica

I.1






41


2.-Documentación que describa las condiciones mediante las cuales

el Prevalidador o el Aspirante, otorgará las facilidades y activos

necesarios a los empleados para que desempeñen sus actividades,

conforme al puesto.

I.2

3.- Documentación que

describa el procedimiento

mediante el cual los

administradores de los

sistemas relacionados con la


prevalidación electrónica,

gestionan los derechos de

acceso a los usuarios, la cual

debe contener:

a) Protocolo de alta del empleado. I.3.a

b) Cambios en actividades, roles y

responsabilidades del empleado. I.3.b

c) Generación y gestión de cuentas

privilegiadas en los sistemas. I.3.c

d) Procedimiento mediante el cual los

administradores de los sistemas

verifican que los permisos y niveles de

acceso de los empleados

correspondan a sus actividades, roles

y responsabilidades.

I.3.d

J. Responsabilidades

de los usuarios

1.-Documentación que describa el procedimiento de gestión de la

información de autenticación en los sistemas relacionados con la

prestación de servicios de Prevalidación electrónica, y que el

Prevalidador o el Aspirante, debe seguir para entregar dicha

información a los empleados por primera vez, en caso de que el

usuario solicite cambio de información de autenticación y el cambio

obligatorio de información de autenticación en el primer inicio de

sesión de los usuarios

J.1

2.-Documentación que describa la comunicación de

responsabilidades formalmente a los empleados. J.2

3.-Documentación que describa el procedimiento mediante el cual se

asegura que el inicio de sesión a los sistemas, redes y servicios

relacionados con la prestación de servicios de Prevalidación

electrónica es protegido contra personal no autorizado o ajeno al

Prevalidador o al Aspirante, implementación de esquemas de

autenticación que permitan que los empleados utilicen contraseñas

que cumplan con los requerimientos del Prevalidador o del Aspirante,

así como de mejores prácticas respecto a la longitud y composición.

J.3

4.-Documentación que describa las condiciones bajo las cuales se

autoriza el uso de herramientas de gestión y análisis de

vulnerabilidades, monitoreo de actividades y de cualquier otra

naturaleza, que puedan ser configuradas para omitir los controles de

seguridad de los sistemas relacionados con la prestación de servicios

de Prevalidación electrónica; se debe mantener un registro

permanente e independiente del listado de este tipo de herramientas

J.4

5.-Documentación que describa el procedimiento mediante el cual el

Prevalidador o el Aspirante, autoriza el acceso al código fuente de los

sistemas y aplicativos relacionados con las actividades del

Prevalidador, debe incluir las condiciones necesarias para solicitar el

acceso.

J.5






42


K. Controles de cifrado 1. Política de controles de

cifrado, la cual debe contener:

a) Definición de los sistemas, redes y

servicios que implementan controles

de cifrado.

K.1.a

b) Condiciones para el uso de

controles de cifrado. K.1.b

c) Administración de llaves utilizadas

en los controles de cifrado (uso,

resguardo y disposición, entre otros).

K.1.c

d) Penalizaciones por incumplimiento

de lo establecido en la política. K.1.d

e) Lineamientos de atención a





K.1.e

f) Control de versiones de la política


cambios).

K.1.f

g) Periodicidad de revisión de la

política K.1.g

L. Áreas seguras

1.-Documentación que defina los perímetros de seguridad para las

áreas en las que se realiza el procesamiento de transacciones y de

sistemas relacionados con la Prevalidación de pedimentos.

L.1

2.-Documentación de los controles físicos de acceso al centro de

datos del Prevalidador o del Aspirante, dichos controles deben

impedir el acceso a personas que no cuenten con autorización, el

Prevalidador o el Aspirante debe mantener un registro permanente

del personal autorizado para acceder al centro de datos relacionado

con la prestación de servicios de Prevalidación electrónica.

L.2

3.-Documentación de los controles físicos de acceso a las oficinas del

Prevalidador o del Aspirante (acceso principal, áreas de carga y

descarga, entre otros), dichos controles deben impedir el acceso a

personas no autorizadas, manteniendo un registro permanente de la

entrada y salida del personal autorizado.

L.3

4.-Documentación en la que se definan medidas diseñadas por el

Prevalidador o el Aspirante, contra incendio, inundaciones,

terremotos, manifestaciones y cualquier otro fenómeno físico,

meteorológico o social que ponga en riesgo la prestación de servicios

de Prevalidación electrónica.

L.4

5.-Documentación en la que se identifiquen las áreas seguras para el

procesamiento de información de los contribuyentes en las oficinas

del Prevalidador o del Aspirante, y en el centro de datos relacionado

con la prestación de servicios de Prevalidación electrónica.

L.5

M. Equipos 1.- Documentación en la que

se definan las directrices para

a) Condiciones para la instalación de

activos en el centro de datos


M.1.a






43


la gestión de activos, la cual

debe contener:

servicios de Prevalidación electrónica

y oficinas del Prevalidador o del

Aspirante.

b) Requerimientos de seguridad en el

cableado y redes inalámbricas. M.1.b

c) Baja de equipos en las oficinas del

Prevalidador o del Aspirante, y en el

centro de datos relacionado con la



M.1.c

d) Reúso de medios de

almacenamiento. M.1.d

e) Destrucción de medios de

almacenamiento. M.1.e

f) Gestión de garantías en medios de

almacenamiento. M.1.f

g) Borrado seguro de medios de

almacenamiento. M.1.g

2.-Documentación que describa los equipos que dan soporte a la

operación de activos relacionados con las actividades de

Prevalidación de pedimentos (plantas de luz, balanceadores de carga

eléctrica, entre otros).

M.2

3.-Documentación en la que se identifiquen planes de mantenimiento

para los activos relacionados con las actividades del Prevalidador o

del Aspirante; dichos planes deben permitir que en conjunto se cuente

con el soporte de 24x7x365 días para los equipos.

M.3

4.-Documentación en la que se describa el procedimiento para

proteger los equipos que sean utilizados para la prestación de

servicios de Prevalidación electrónica y que se encuentren fuera de

sus oficinas.

M.4

1. Documentación en la que

se definan las directrices para

la gestión de activos, la cual

debe contener:

a) Definición de escritorio limpio del

Prevalidador o del Aspirante. M.5.a

b) Definición de equipo desatendido

del Prevalidador o del Aspirante. M.5.b

c) Directrices para que los empleados

cuenten con escritorio limpio. M.5.c

d) Directrices para equipos

desatendidos. M.5.d

e) Penalizaciones por incumplimiento

de lo establecido en la política. M.5.e

f) Lineamientos de atención a





M.5.f






44


g) Control de versiones de la política


cambios).

M.5.g

h) Periodicidad de revisión de la

política. M.5.h

N. Procedimientos y

responsabilidades

operativas

1.-Documentación que incluya el estudio de capacidad tecnológica,

de personal e instalaciones para la prestación de servicios de

Prevalidación electrónica, esta capacidad debe ser evaluada y los

resultados documentados cada 12 meses (de acuerdo al calendario

fiscal).

N.1-1

Se debe entender como capacidad tecnológica, de personal e

instalaciones, a los activos tecnológicos, servicios, personal e

inmuebles que el Prevalidador o Aspirante, requiere para la prestación

de servicios de Prevalidación electrónica, dicho documento se debe

actualizar al inicio del periodo de 12 meses y debe incluir protocolos

para realizar ajustes a dicho estudio antes del término del periodo de

12 meses en caso que la empresa lo requiera.

N.1-2

2.-Documentación que incluya el diagrama de interconexión de los

activos relacionados con la prestación de servicios de Prevalidación

electrónica, y los identificadores descritos en el inventario de activos

(incisos a y b del área de control E numeral 1 ), los activos deben

contar con separación física o lógica de los ambientes de desarrollo,

pruebas y producción (operativo).

N.2

O. Protección contra

código malicioso

1.-Documentación que describa las características de la solución que

el Prevalidador o el Aspirante, implementa contra código malicioso

(detección, prevención y recuperación de sistemas).

O.1

P. Respaldos 1.- Política de respaldos, la

cual debe contener:

a) Definición de respaldos del

Prevalidador o del Aspirante. P.1.a

b) Roles y responsabilidades para

realizar y gestionar respaldos. P.1.b

c) Listado de sistemas, activos y

herramientas que deben ser sujetos a

respaldo.

P.1.c

d) Definición de medios de

almacenamiento autorizados para

realizar respaldos.

P.1.d

e) Directrices para generación de

respaldos. P.1.e

f) Directrices para pruebas de

respaldos. P.1.f

g) Directrices para periodos de

resguardo de respaldos. P.1.g

h) Directrices para destrucción de

respaldos. P.1.h

i) Definición de ubicación física de

respaldos fuera del centro de datos P.1.i






45



servicios de Prevalidación electrónica.

j) Penalizaciones por incumplimiento

de lo establecido en la política. P.1.j

k) Lineamientos de atención a





P.1.k

l) Control de versiones de la política


cambios).

P.1.l

m) Periodicidad de revisión de la

política. P.1.m

Q. Registro y

monitoreo


permita identificar los

registros de actividades de los

sistemas de información,

sistemas operativos y

cualquier otro activo

relacionado a la prestación de

servicios de prevalidación

electrónica, los referidos

registros deben contener:

a) Identificador del usuario que realiza

la actividad. Q.1.a

b) Descripción de la actividad

realizada. Q.1.b

c) Origen de la conexión al sistema. Q.1.c

d) Resultado de la actividad

efectuada. Q.1.d

e) Todos los registros deben ser

generados solo como lectura para

todos los usuarios.

Q.1.e

f) Controles contra pérdida,

destrucción, falsificación, acceso no

autorizado y distribución no

autorizada.

Q.1.f

El Prevalidador o el Aspirante debe

generar registros de actividades

independientes para administradores

y cuentas privilegiadas, para lo cual

debe contemplar lo descrito en el

inciso e).

Q.1-2

2.-Documentación técnica del protocolo NTP, equipo o servicio que

implemente este protocolo utilizado para la sincronización de relojes

de los sistemas, redes y servicios de red relacionados con la

prestación de servicios de Prevalidación electrónica.

Q.2

R. Control de software

operativo


describa las configuraciones

de los activos relacionados

con la prestación de servicios

de prevalidación electrónica,

equipos de los empleados y

equipos de red, debe

contener:

a) Para equipos de empleados:

i. Protección del BIOS. R.1.a.i

ii. Limitación de derechos de acceso a

configuraciones de sistema. R.1.a.ii

iii. Configuración de bloqueo

automático por tiempo de

inactividad.

R.1.a.iii






46


iv. Restricción de instalación de

programas. R.1.a.iv

v. Inhabilitación de puertos físicos

utilizados en transferencia de

información o almacenamiento (salvo

autorización formal).

R.1.a.v

vi. Configuraciones de seguridad del

fabricante (no deben derivar en

incumplimiento de políticas del

Prevalidador electrónico).

R.1.a.vi

b) Para activos relacionados con las

actividades del Prevalidador o del Aspirante:

i. Protección del BIOS. R.1.b.i

ii. Configuración de puertos,

protocolos y servicios requeridos para

su operación.

R.1.b.ii

iii. Configuración de registros de

actividades. R.1.b.iii

iv. Inhabilitación de puertos,

protocolos y servicios no requeridos

para su operación.

R.1.b.iv

v. Inhabilitación de puertos físicos

utilizados en transferencia de

información o almacenamiento (salvo

autorización formal).

R.1.b.v

vi. Instalación de sistema operativo en

partición exclusiva. R.1.b.vi

vii. Configuración de reglas de filtrado

de paquetes, detección y prevención

de intrusos.

R.1.b.vii

viii. Configuraciones de seguridad del

fabricante (no deben derivar en

incumplimiento de políticas del

Prevalidador o Aspirante).

R.1.b.viii

c) Para equipos de red:

i Configuración de registros de

actividades. R.1.c.i

ii. Configuración de gestión de tráfico

de paquetes. R.1.c.ii

iii. Controles de seguridad en redes

expuestas e internas en las oficinas

del Prevalidador o del Aspirante, y

centro de datos relacionado con la



R.1.c.iii






47


iv. Segregación de redes. R.1.c.iv

S. Administración de

vulnerabilidades

técnicas


describa el procedimiento

mediante el cual el

Prevalidador o el Aspirante

gestiona las vulnerabilidades

técnicas de los activos

relacionados con la


prevalidación electrónica, en

equipos de los empleados y

equipos de red, los cuales

deben contener:

a) Calendarización de análisis de

vulnerabilidades. S.1.a

b) Protocolo de análisis de

vulnerabilidades. S.1.b

c) Documentación de resultados de

análisis de vulnerabilidades. S.1.c

d) Clasificación de vulnerabilidades. S.1.d

e) Diseño de planes de remediación

de vulnerabilidades. S.1.e

f) Pruebas de penetración para

activos críticos. S.1.f

g) Documentación de resultados de

pruebas de penetración. S.1.g

h) Diseño de planes de remediación

de resultados de pruebas de

penetración.

S.1.h

T. Transferencia de

información

1.- Documentación que describa los controles implementados para la

protección de transferencia de información contra intercepción, copia

no autorizada, modificación, borrado, pérdida y transmisión de código

malicioso; el Prevalidador o el Aspirante, debe contar con acuerdos

firmados de transferencia de información con proveedores.

T.1

2.- Acuerdos de confidencialidad celebrados con empleados y

proveedores (se solicitará una muestra física y digital de originales

durante la verificación)

T.2

U. Seguridad en el

desarrollo y procesos

de soporte


permita identificar controles

implementados por el

Prevalidador o Aspirante,

para servicios expuestos, la

cual debe contener:

a) Controles de seguridad contra

fraudes y exposición de información,

entre otros.

U.1.a

b) Controles para evitar transmisión

incompleta de transacciones, mal

enrutamiento, alteración de

mensajes, revelación de información,

copia no autorizada y respuestas no

autorizadas

U.1.b

2.- Política de desarrollo

seguro, la cual debe contener:

a) Definición de desarrollo seguro del

Prevalidador o del Aspirante. U.2.a

b) Marco de referencia de desarrollo

seguro, se debe incluir la referencia en

la documentación de cada desarrollo.

U.2.b

c) Directrices de seguridad para

desarrollos internos y requeridos a

proveedores.

U.2.c

d) Directrices de aceptación de

desarrollos. U.2.d






48


e) Directrices para definir la

propiedad intelectual de los

desarrollos contratados con terceros.

U.2.e

f) Restricciones de cambios en

software de propósito general

(ofimática, diseño y base de datos,

entre otros).

U.2.f

g) Entorno seguro para desarrollos

realizados por empleados. U.2.g

h) Penalizaciones por incumplimiento

de lo establecido en la política. U.2.h

i) Lineamientos de atención a





U.2.i



cambios).

U.2.j


política. U.2.k


describa la gestión de

cambios en los sistemas

relacionados con la


prevalidación electrónica,

debe contener:

a) Protocolo de control de cambios. U.3.a

b) Formatos utilizados para el control

de cambios. U.3.b

c) Esquema de autorización de

control de cambios. U.3.c

d) Pruebas de los cambios en

ambientes de desarrollo, pruebas y

producción (operación).

U.3.d

e) Documentación de resultados de

pruebas. U.3.e

f) Pruebas después de la liberación del

cambio. U.3.f


pruebas. U.3.g

h) Registro de control de versiones de

los desarrollos. U.3.h

i) Resguardo de repositorios de

versiones de desarrollos. U.3.i

V. Seguridad de la

información en

relaciones con

proveedores y gestión

de prestación de

1.- Política de relaciones con

proveedores, la cual debe

contener:

a) Definición de relaciones con

proveedores del Prevalidador o del

Aspirante.

V.1.a

b) Directrices para definir alcance y

objetivo de los acuerdos con

proveedores.

V.1.b






49


servicios de los

proveedores

c) Directrices para definir las

condiciones de entrega de servicio de

los proveedores.

V.1.c

d) Directrices para autorizar el acceso

a la información de contribuyentes a

los proveedores.

V.1.d

e) Controles de seguridad para los

servicios. V.1.e

f) Inclusión de cláusula de auditoría

para la contratación de servicios con

proveedores.

V.1.f

g) Directrices para realizar cambios

en las condiciones de entrega de

servicios.

V.1.g

h) Penalizaciones por incumplimiento

de lo establecido en la política. V.1.h

i) Lineamientos de atención a





V.1.i



cambios).

V.1.j


política. V.1.k

W. Administración de

incidentes de

seguridad de la

información y mejoras


describa el protocolo de

atención a incidentes que

afecten la confidencialidad,

integridad o disponibilidad de

la información de los

contribuyentes, la cual debe

contener:

a) Roles y responsabilidades. W.1.a

b) Clasificación de incidentes. W.1.b

c) Documentación de incidentes. W.1.c

d) Recolección de evidencia del

incidente. W.1.d

e) Alimentación de base de

conocimientos. W.1.e

f) Tabla de escalamiento. W.1.f

g) Tiempos de respuesta. W.1.g

h) Directrices para remediación de

incidentes. W.1.h

X. Redundancias

1.-Documentación que describa los esquemas de alta disponibilidad

que el Prevalidador o del Aspirante, implementa para las actividades

relacionadas con la prestación de servicios de Prevalidación

electrónica.

X.1

Y. Continuidad de la

seguridad de la

información


describa los planes de

continuidad del Prevalidador

a) Determinación de escenarios que

pongan en riesgo la continuidad del

negocio.

Y.1.a






50


o del Aspirante, la cual deben

contener: b) Roles y responsabilidades. Y.1.b

c) Protocolos de respuesta ante

ocurrencia de los escenarios descritos

en el inciso a).

Y.1.c

d) Documentación de resultados de la

ejecución. Y.1.d

e) Diseño de pruebas. Y.1.e

f) Acondicionamiento para realizar

pruebas. Y.1.f


pruebas. Y.1.g

h) Adecuaciones a los planes. Y.1.h

i) Revisión periódica de los planes Y.1.i

2. Documentación que

describa los planes de

recuperación de desastres del

Prevalidador o del Aspirante,

los cuales deben contener:

a) Determinación de escenarios que el

Prevalidador o Aspirante identifique

como desastre.

Y.2.a

b) Roles y responsabilidades. Y.2.b

c) Protocolos de respuesta ante

ocurrencia de los escenarios descritos

en el inciso a).

Y.2.c

d) Documentación de resultados de la

ejecución. Y.2.d

e) Diseño de pruebas. Y.2.e

f) Acondicionamiento para realizar

pruebas. Y.2.f


pruebas. Y.2.g

h) Adecuaciones a los planes. Y.2.h

i) Revisión periódica de los planes. Y.2.i

Z. Revisión de

seguridad de la

información

1.-Documentación en la que se defina un calendario de verificaciones

independientes de seguridad de la información. El término

independiente se refiere a que debe llevarse a cabo por personal que

no haya participado en el diseño o implementación de los controles o

que pertenezca a las áreas evaluadas, el personal puede ser interno o

externo

Z.1

2.-Procedimientos para proporcionar a los usuarios la asistencia

técnica necesaria con relación al enlace para la transmisión de

información y Prevalidación de los pedimentos.

Z.2






51

Anexo 5

Procedimiento para reportar al SAT incidentes que pongan en riesgo la

confidencialidad, disponibilidad e integridad de la información de los

contribuyentes de acuerdo a la clave de control de seguridad de la

información C.3

1. Pasos a seguir para contactar al SAT

El responsable del área tecnológica y/o el oficial de seguridad del prevalidador,

o a quien éste designe deberá enviar mediante correo electrónico un reporte de

la falla o incidente ocurrido, el cual deberá cumplir con lo siguiente:

a) Deberá dirigirse a la cuenta [email protected] marcando

copia al Administrador Central de Modernización Aduanera.

b)

prevalidador) /aaaa-mm-dd.

identifica al prevalidador, año, mes y día en que ocurrió la falla o incidente.

c) En el cuerpo del correo se deberá proporcionar la siguiente información:

I. Fecha del evento: aaaa-mm-dd (año-mes-día):

II. Nombre del contacto: Nombre la persona que fungirá como

contacto para el evento.

III. Correo(s) electrónico(s) Correo electrónico de la persona que

fungirá como contacto para el evento.

IV. Número(s) telefónico (s) del

contacto

Números telefónicos de la persona que

fungirá como contacto para el evento.


mailto:[email protected]





52

V. Tipo de reporte Se deberá declarar la afectación al servicio

de prevalidación y/o infraestructura del

prevalidador del incidente de información

de los contribuyentes:

a) Confidencialidad.

b) Integridad.

c) Disponibilidad.

VI. ¿El incidente tiene un impacto hacia

el SAT?

Declarar una de las siguientes opciones:

a) Sí.

b) No

VII. Indicar el estado que guarda el

reporte: En proceso

a) Resuelto

b) Erradicado

VIII. Clasificación de la falla o incidente: Indicar la clasificación de la falla o

incidente, con base al protocolo de

atención de Incidentes implementado en

su prevalidador: declarando una de las

siguientes opciones:

a) Alto

b) Medio.

c) Bajo

IX. Tiempo de respuesta para solventar

la falla/incidente:

Se deberá indicar un tiempo estimado

para que se pueda solventar la falla o

incidente.

X. Activo afectado: Se deberá indicar el activo afectado

(software, hardware, etc.) relacionado

con la falla/incidente señalando en que






53

parte del proceso de prevalidación se

presentó.

XI. Descripción detallada de la falla o

incidente:

Hacer una descripción detallada de la falla

o incidente.

XII. Si la falla/incidente no se ha

resuelto, indique el porqué de su

estado:

XIII. Si la falla/incidente no se ha

resuelto, documente las actividades

a seguir para su atención.

2. Seguimiento al Reporte

Si al momento de la notificación al SAT la falla o incidente reportado no ha sido resuelto, el

prevalidador estará obligado a notificar al SAT en alcance al reporte inicial cuando éste sea

solventado, actualizando el formato enviado por correo.


Lineamientos que deben de observar quienes cuenten con la ...oma · Seguridad de la Información A....

Documents

Transcript of Lineamientos que deben de observar quienes cuenten con la ...oma · Seguridad de la Información A....