Lineamientos que deben de
observar quienes cuenten con la
autorización para prestar los
servicios de prevalidación
electrónica de datos contenidos en
los pedimentos y los interesados en
obtenerla.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
2
Control de versiones
VERSION FECHA AUTORIDAD COMENTARIOS
1.0 11-10 -
2017
Elaboró:
Administración Central de Apoyo Jurídico
de Aduanas.
Administración Central de Modernización
Aduanera.
Se emiten lineamientos.
1.1 08-12-
2017
Elaboró:
Administración Central de Apoyo Jurídico
de Aduanas.
Administración Central de Modernización
Aduanera.
Adecuación del nombre de los
lineamientos
Precisiones en el procedimiento
para obtener el oficio de validación
y opinión técnica.
1.2 18-05-
2018
Elaboró:
Administración Central de Apoyo Jurídico
de Aduanas.
Administración Central de Modernización
Aduanera.
Cambio de fecha para la
presentación del escrito en el que se
solicitará una verificación de
seguimiento.
Adecuación de normatividad.
1.3 18-07-
2018
Elaboró:
Administración Central de Apoyo Jurídico
de Aduanas.
Administración Central de Modernización
Aduanera.
Se modifica el apartado de Solicitud
de validación y opinión técnica, se
adiciona lo conducente a
mecanismos instrumentos o
medidas alternas, así como
actualización de fechas en marco
jurídico, formato del documento. Se
adiciona al apartado V, el Anexo 4 y
se adecua redación de los incicos c
y d; además se modifica redacción
en elapartado VI.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
3
1.4. 21-11-
2018
Elaboró:
Administración Central de Apoyo Jurídico
de Aduanas.
Administración Central de Modernización
Aduanera.
Se modifican los apartados oficio de
resultados, continuidad en
operaciones y carta compromiso de
confidencialidad, reserva y
resguardo de información y datos,
así mismo, se adiciona anexo 5 con
procedimiento para reportar al SAT
incidentes que pongan en riesgo la
confidencialidad, disponibilidad e
integridad de la información de los
contribuyentes de acuerdo al
control C.3 de los presentes
lineamientos.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
4
Contenido
I. Objetivo 6
II. Marco Jurídico 7
III. Glosario de definiciones y acrónimos . 6 8
IV. Seguridad de la Información
A. Gestión de Riesgos del prevalidador o aspirante 8
B. Política de seguridad de la información del prevalidador o aspirante 9
C. Aspectos organizacionales del prevalidador o aspirante 0
D. Seguridad en el personal . 1
E. Responsabilidad de los activos 12
F. Clasificación de la información
G. Manejo de Medios ..13
H. Requerimientos de control de acceso ..13
I. Requerimientos de control de acceso y administración de
acceso de usuario
..13
J. Responsabilidades de los usuarios .14
K. Controles de cifrado ..15
L. Áreas seguras .15
M. Equipos ..16
N. Procedimientos y responsabilidades operativas .17
O. Protección contra código malicioso .17
P. Respaldos ..
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
5
Q. Registro y monitoreo 18
R. Control de software perativo 19
S. Administración de vulnerabilidades técnicas 20
T. Tranferencia de Información .. 20
U. Seguridad en el desarrollo de procesos de soporte .20
V. Seguridad en la información en relaciones con proveedores
y gestión de prestación de servicios de los proveedores. ..
.21
W. Administración de incidentes de seguridad de la
información y mejoras
2
...22
X. Redundancias .22
Y. Continuidad de la seguridad de la información 2. 22
Z. Revisión de seguridad de la información . ..23
V. Procedimiento para obtener el oficio de validación y opinión técnica 24
a) Solicitud de validación y opinión técnica ... .24
b) Verificación en sitio . 6
c) Oficio de resultados . 7
d) Entrega de oficio de validación y opinión técnica . 9
VI. Continuidad en operaciones . 9
VII. Carta Compromiso de Confidencialidad, Reserva y Resguardo de
Información y datos
. .29
Anexo 1 . 30
A Anexo 2 31
Anexo 3 5
Anexo 4 6
Anexo5 51
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
6
I. Objetivo
Dar a conocer los medios de control de seguridad a que se refiere la fracción XV de la
Regla 1.8.2 de las Reglas Generales de Comercio Exterior, que deberán cumplir las
personas que cuentan con la autorización para prestar los servicios de prevalidación
electrónica de datos, contenidos en los pedimentos en términos del artículo 16-A de
la Ley Aduanera y 13 de su Reglamento, asi como las personas interesadas en
obtenerla.
De igual manera, a través de los presentes lineamientos se da a conocer el
procedimiento que deben realizar las personas interesadas en obtener el oficio de
validación de seguridad de la información.
Adicionalmente, a través de los presentes lineamientos se da a conocer el formato de
que deberán presentar las personas que cuentan con la autorización para prestar los
servicios de prevalidación electrónica de datos contenidos en los pedimentos en
términos de lo establecido en el segundo párrrafo de la fracción X de la citada Regla
1.8.2.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
7
II.Marco Jurídico
Leyes
Ley Aduanera.
D.O.F. 15-XII-1995, última reforma D.O.F. 01-06-2018
Códigos
Código Fiscal de la Federación.
D.O.F. 31-XII-1981, última reforma D.O.F. 25-06-2018
Reglamentos
Reglamento de la Ley Aduanera.
D.O. F. 20-IV-2015.
Reglamento Interior del Servicio de Administración Tributaria.
D.O.F. 24-VIII-2015.
Otras Disposiciones
Reglas Generales de Comercio Exterior vigentes.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
8
III. Glosario de definiciones y acrónimos
Para los efectos de los presentes lineamientos, se entiende por:
ACAJA, Administración Central de Apoyo Jurídico de Aduanas.
ACMA, Administración Central de Modernización Aduanera.
Activo, Es cualquier cosa que tiene valor para el prevalidador o aspirante.
Existen muchos tipos de activos, tales como: información, software
(como un programa informático), físicos (como una computadora),
servicios, conocimientos, habilidades y experiencia de las personas.
AGA, Administración General de Aduanas.
Aspirante, Persona interesada en obtener la autorización para prestar los
servicios de prevalidación electrónica de datos contenidos en los
pedimentos de conformidad con el artículo 16-A de la Ley Aduanera.
Autorizado, Persona que cuenta con la autorización para prestar los servicios de
prevalidación electrónica de datos contenidos en los pedimentos
conforme al artículo 16-A de la Ley Aduanera.
Ficha de
trámite
24/LA
Instructivo de trámite para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos (Regla 1.8.1.)
contenido en el anexo 1-A de las Reglas Generales de Comercio
Exterior.
RGCE Reglas Generales de Comercio Exterior vigentes.
SAT Servicio de Administración Tributaria.
IV. Seguridad de la Información
Los aspirantes o autorizados deben cumplir con los requerimientos a que se refiere la
regla 1.8.2., fracción XV de las RGCE y
numeral 10 de las RGCE. Para ello, a continuación, se presentan los medios de control
de seguridad de la información, mismos que deberán cumplir en su totalidad.
A. Gestión de riesgos
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
9
1. Descripción del proceso de gestión de riesgos, el cual debe contener las siguientes
directrices:
a) Identificación de escenarios de riesgo: riesgos a los que se encuentra
expuesto el Prevalidador o el Aspirante, por la prestación de sus servicios,
tecnología utilizada, factores humanos, climatológicos y cambios en la
legislación.
b) Categorización o tipificación de los riesgos a los que se encuentra expuesto
el Prevalidador o el Aspirante, y niveles de aceptación del riesgo definidos por
éste.
c) Criterios para reducir los riesgos a niveles aceptables por el Prevalidador o el
Aspirante.
d) Criterios para la revisión permanente de los riesgos e identificar los cambios,
en el entorno que puedan incrementar el nivel de riesgo del Prevalidador o del
Aspirante.
2. Análisis de riesgos realizado por el Prevalidador o el Aspirante, cuyo contenido debe
incluir al menos las actividades relacionadas con la prestación de servicios de
prevalidación electrónica, incluyendo la identificación de riesgos a los que se encuentra
expuesto, categorización y planes de remediación, reducción del impacto o
probabilidad de materialización de los riesgos; el documento debe contemplar riesgos
relacionados con proveedores y todo aquel personal ajeno al Prevalidador que tenga
acceso a la información de los contribuyentes.
B. Política de seguridad de la información
1. Política de seguridad de la información, la cual debe contener:
a) Definición de seguridad de la información del Prevalidador o del Aspirante.
b) Normatividad, legislación y marcos de referencia aplicables al Prevalidador o al
Aspirante.
c) Roles y responsabilidades de la seguridad de la información.
d) Compromiso expreso de la dirección con la seguridad de la información.
e) Lineamientos de seguridad de la información.
f) Penalizaciones por incumplimiento a lo establecido en la política.
g) Lineamientos de atención a situaciones no contempladas en el documento y que
afecten la prestación de servicios de prevalidación electrónica.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
10
h) Lineamientos de seguridad de la información para proveedores y todo aquel
personal ajeno al Prevalidador o al Aspirante que tenga acceso a la información de los contribuyentes.
i) Comunicación formal del documento a todo el personal relacionado con la
prestación de servicios de prevalidación electrónica.
j) Control de versiones de la política (fecha, participantes y control de cambios).
k) Periodicidad de revisión de la política.
C. Aspectos organizacionales del prevalidador o aspirante
1. Identificación de los diferentes puestos definidos por el Prevalidador o por el
Aspirante, así como sus respectivos roles, actividades y responsabilidades.
2. Documentación en la que se especifique cómo el Prevalidador o el Aspirante evita el
conflicto de intereses de los diferentes puestos, respecto a sus actividades, roles y
responsabilidades.
3. Descripción del procedimiento mediante el cual el Prevalidador o el Aspirante,
contactará al SAT para reportar fallas de infraestructura o incidentes que pongan en
riesgo la confidencialidad, disponibilidad e integridad de la información de los
contribuyentes.
4. Documentos o formularios de inscripción (RSS, listas de correo y boletines, entre
otros) con grupos de interés especial en seguridad informática y de la información.
5. Política de trabajo remoto para empleados, la cual debe contener:
a) Definición del trabajo remoto para el Prevalidador o para el Aspirante.
b) Condiciones mediante las cuales se autoriza el trabajo remoto.
c) Aprovisionamiento para el trabajo remoto.
d) Periodo de autorización del trabajo remoto.
e) Penalizaciones por incumplimiento de lo establecido en la política.
f) Lineamientos de atención a situaciones no contempladas en el documento y
que afecten la prestación de servicios de prevalidación electrónica.
g) Directrices para la cancelación del aprovisionamiento de trabajo remoto.
h) Control de versiones de la política (fecha, participantes y control de cambios).
i) Periodicidad de revisión de la política.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
11
6. Documentación para la autorización del uso de equipos móviles (teléfono celular y
tableta, entre otros) en el manejo de información de los contribuyentes, por cualquier medio (correo electrónico y aplicativos, entre otros).
D. Seguridad en el personal
Antes de la contratación
1. Procedimientos que realiza el Prevalidador o el Aspirante, para la selección del
personal, verificación de desempeño e incidencias presentadas en empleos anteriores.
2. Términos y condiciones del empleo, así como la forma en la que el Prevalidador o el
Aspirante, comunica dicha información al personal en el proceso de contratación.
Durante la contratación
3. Documentación acerca de la capacitación en materia de seguridad de la información,
que el Prevalidador o el Aspirante, provee a los empleados.
Término o cambio
4. Documentación que contenga directrices y procedimientos para la gestión de la
terminación de la relación contractual con los empleados y, en su caso, cuando se
modifiquen las actividades, roles y responsabilidades.
E. Responsabilidad de los activos
1. Documentación en la que se liste el inventario de activos del Prevalidador o el
Aspirante, relacionados con la prestación de servicios de prevalidación electrónica, y
que debe contener:
a) Identificador del activo.
b) Dirección IP del activo.
c) Características del activo (marca, modelo, serie y sistema operativo, entre
otros).
d) Propietario del activo.
e) Responsable del activo.
f) Ubicación física del activo.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
12
2. Política de uso aceptable de activos, la cual debe contener:
a) Definición de uso aceptable de activos del Prevalidador o del Aspirante.
b) Directrices bajo las cuales el Prevalidador o el Aspirante debe considerar el uso
aceptable de activos.
c) Penalizaciones por incumplimiento de lo establecido en la política.
d) Lineamientos de atención a situaciones no contempladas en el documento y
que afecten la prestación de servicios de prevalidación electrónica.
e) Control de versiones de la política (fecha, participantes y control de cambios).
f) Periodicidad de revisión de la política.
3. Documentación que describa el procedimiento de retorno de activos tangibles y no
tangibles de los empleados al Prevalidador o al Aspirante, ante el término de la relación
contractual o cambios en las actividades, roles y responsabilidades.
F. Clasificación de la información
1. Política de clasificación de la información, debe contener:
a) Definición de clasificación de información del Prevalidador o del Aspirante.
b) Rubros en los que será clasificada la información.
c) Directrices para la clasificación de información.
d) Penalizaciones por incumplimiento de lo establecido en la política.
e) Lineamientos de atención a situaciones no contempladas en el documento y
que afecten la prestación de servicios de prevalidación electrónica.
f) Control de versiones de la política (fecha, participantes y control de cambios).
g) Periodicidad de revisión de la política.
2. Documentación que describa el procedimiento de etiquetado de la información en
los sistemas de ésta y físicamente cuando la información se encuentre relacionada con
la prestación de servicios de prevalidación electrónica.
3. Documentación que describa las condiciones para manejar la información de
acuerdo a su clasificación ya sea en formato físico o digital.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
13
G. Manejo de medios
1. Documentación que describa el procedimiento para administrar el uso de medios
removibles de almacenamiento, que deben ser utilizados por los empleados del
Prevalidador o del Aspirante, bajo estricta necesidad, así como las directrices para el
traslado de los referidos medios dentro y fuera de las oficinas del Prevalidador o del Aspirante, y/o centro de datos relacionado con la prestación de servicios de
prevalidación electrónica.
H. Requerimientos de control de acceso
1. Política de control de accesos a los sistemas, la cual debe contener:
a) Definición de acceso a los sistemas del Prevalidador o del Aspirante.
b) Directrices para el uso y operación de sistemas.
c) Penalizaciones por incumplimiento de lo establecido en la política.
d) Lineamientos de atención a situaciones no contempladas en el documento y
que afecten la prestación de servicios de prevalidación electrónica.
e) Control de versiones de la política (fecha, participantes y control de cambios).
f) Periodicidad de revisión de la política.
2. Documentación que describa las restricciones implementadas por el Prevalidador o
el Aspirante, para el uso de redes y servicios de red ajenos a las actividades, roles y
responsabilidades de los empleados y de los proveedores.
I. Requerimientos de control de acceso y administración de
accesos de usuario
1. Documentación que describa el procedimiento para realizar el registro de usuarios en los sistemas, redes y servicios; así como el procedimiento para inhabilitar el acceso
a los sistemas, redes y servicios relacionados con la prestación de servicios de
prevalidación electrónica.
2. Documentación que describa las condiciones mediante las cuales el Prevalidador o
el Aspirante, otorgará las facilidades y activos necesarios a los empleados para que
desempeñen sus actividades, conforme al puesto.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
14
3. Documentación que describa el procedimiento mediante el cual los administradores
de los sistemas relacionados con la prestación de servicios de prevalidación electrónica, gestionan los derechos de acceso a los usuarios, la cual debe contener:
a) Protocolo de alta del empleado.
b) Cambios en actividades, roles y responsabilidades del empleado.
c) Generación y gestión de cuentas privilegiadas en los sistemas.
d) Procedimiento mediante el cual los administradores de los sistemas verifican
que los permisos y niveles de acceso de los empleados correspondan a sus
actividades, roles y responsabilidades.
J. Responsabilidades de los usuarios
1. Documentación que describa el procedimiento de gestión de la información de
autenticación en los sistemas relacionados con la prestación de servicios de
prevalidación electrónica, y que el Prevalidador o el Aspirante, debe seguir para
entregar dicha información a los empleados por primera vez, en caso de que el usuario
solicite cambio de información de autenticación y el cambio obligatorio de información
de autenticación en el primer inicio de sesión de los usuarios.
2. Documentación que describa la comunicación de responsabilidades formalmente a
los empleados.
3. Documentación que describa el procedimiento mediante el cual se asegura que el
inicio de sesión a los sistemas, redes y servicios relacionados con la prestación de
servicios de prevalidación electrónica es protegido contra personal no autorizado o
ajeno al Prevalidador o al Aspirante, implementación de esquemas de autenticación que
permitan que los empleados utilicen contraseñas que cumplan con los requerimientos
del Prevalidador o del Aspirante, así como de mejores prácticas respecto a la longitud
y composición.
4. Documentación que describa las condiciones bajo las cuales se autoriza el uso de
herramientas de gestión y análisis de vulnerabilidades, monitoreo de actividades y de
cualquier otra naturaleza, que puedan ser configuradas para omitir los controles de
seguridad de los sistemas relacionados con la prestación de servicios de prevalidación
electrónica; se debe mantener un registro permanente e independiente del listado de
este tipo de herramientas.
5. Documentación que describa el procedimiento mediante el cual el Prevalidador o el
Aspirante, autoriza el acceso al código fuente de los sistemas y aplicativos relacionados
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
15
con las actividades del Prevalidador, debe incluir las condiciones necesarias para
solicitar el acceso.
K. Controles de cifrado
1. Política de controles de cifrado, la cual debe contener:
a) Definición de los sistemas, redes y servicios que implementan controles de
cifrado.
b) Condiciones para el uso de controles de cifrado.
c) Administración de llaves utilizadas en los controles de cifrado (uso, resguardo
y disposición, entre otros).
d) Penalizaciones por incumplimiento de lo establecido en la política.
e) Lineamientos de atención a situaciones no contempladas en el documento y
que afecten la prestación de servicios de prevalidación electrónica.
f) Control de versiones de la política (fecha, participantes y control de cambios).
g) Periodicidad de revisión de la política.
L. Áreas seguras
1. Documentación que defina los perímetros de seguridad para las áreas en las que se
realiza el procesamiento de transacciones y de sistemas relacionados con la
prevalidación de pedimentos.
2. Documentación de los controles físicos de acceso al centro de datos del Prevalidador o del Aspirante, dichos controles deben impedir el acceso a personas que no cuenten
con autorización, el Prevalidador o el Aspirante debe mantener un registro permanente
del personal autorizado para acceder al centro de datos relacionado con la prestación
de servicios de prevalidación electrónica.
3. Documentación de los controles físicos de acceso a las oficinas del Prevalidador o
del Aspirante (acceso principal, áreas de carga y descarga, entre otros), dichos
controles deben impedir el acceso a personas no autorizadas, manteniendo un registro
permanente de la entrada y salida del personal autorizado.
4. Documentación en la que se definan medidas diseñadas por el Prevalidador o el
Aspirante, contra incendio, inundaciones, terremotos, manifestaciones y cualquier otro
fenómeno físico, meteorológico o social que ponga en riesgo la prestación de servicios
de prevalidación electrónica.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
16
5. Documentación en la que se identifiquen las áreas seguras para el procesamiento de información de los contribuyentes en las oficinas del Prevalidador o del Aspirante, y en
el centro de datos relacionado con la prestación de servicios de prevalidación
electrónica.
M. Equipos
1. Documentación en la que se definan las directrices para la gestión de activos, la cual
debe contener:
a) Condiciones para la instalación de activos en el centro de datos relacionado
con la prestación de servicios de prevalidación electrónica y oficinas del
Prevalidador o del Aspirante.
b) Requerimientos de seguridad en el cableado y redes inalámbricas.
c) Baja de equipos en las oficinas del Prevalidador o del Aspirante, y en el centro
de datos relacionado con la prestación de servicios de prevalidación
electrónica.
d) Reúso de medios de almacenamiento.
e) Destrucción de medios de almacenamiento.
f) Gestión de garantías en medios de almacenamiento.
g) Borrado seguro de medios de almacenamiento.
2. Documentación que describa los equipos que dan soporte a la operación de activos
relacionados con las actividades de prevalidación de pedimentos (plantas de luz,
balanceadores de carga eléctrica, entre otros).
3. Documentación en la que se identifiquen planes de mantenimiento para los activos
relacionados con las actividades del Prevalidador o del Aspirante; dichos planes deben
permitir que en conjunto se cuente con el soporte de 24x7x365 días para los equipos.
4. Documentación en la que se describa el procedimiento para proteger los equipos
que sean utilizados para la prestación de servicios de prevalidación electrónica y que se
encuentren fuera de sus oficinas.
5. Política de escritorio limpio y equipo desatendido, la cual debe contener:
a) Definición de escritorio limpio del Prevalidador o del Aspirante.
b) Definición de equipo desatendido del Prevalidador o del Aspirante.
c) Directrices para que los empleados cuenten con escritorio limpio.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
17
d) Directrices para equipos desatendidos.
e) Penalizaciones por incumplimiento de lo establecido en la política.
f) Lineamientos de atención a situaciones no contempladas en el documento y
que afecten la prestación de servicios de prevalidación electrónica.
g) Control de versiones de la política (fecha, participantes y control de cambios).
h) Periodicidad de revisión de la política.
N. Procedimientos y responsabilidades operativas
1. Documentación que incluya el estudio de capacidad tecnológica, de personal e
instalaciones para la prestación de servicios de prevalidación electrónica, esta
capacidad debe ser evaluada y los resultados documentados cada 12 meses (de
acuerdo al calendario fiscal).
Se debe entender como capacidad tecnológica, de personal e instalaciones, a los
activos tecnológicos, servicios, personal e inmuebles que el Prevalidador o Aspirante,
requiere para la prestación de servicios de prevalidación electrónica, dicho documento
se debe actualizar al inicio del periodo de 12 meses y debe incluir protocolos para
realizar ajustes a dicho estudio antes del término del periodo de 12 meses en caso que
la empresa lo requiera.
2. Documentación que incluya el diagrama de interconexión de los activos relacionados
con la prestación de servicios de prevalidación electrónica y los identificadores descritos en el inventario de activos (incisos a y b del área de control E numeral 1), los
activos deben contar con separación física o lógica de los ambientes de desarrollo,
pruebas y producción (operativo).
O. Protección contra código malicioso
1. Documentación que describa las características de la solución que el Prevalidador o
el Aspirante, implementa contra código malicioso (detección, prevención y
recuperación de sistemas).
P. Respaldos
1. Política de respaldos, la cual debe contener:
a) Definición de respaldos del Prevalidador o del Aspirante.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
18
b) Roles y responsabilidades para realizar y gestionar respaldos.
c) Listado de sistemas, activos y herramientas que deben ser sujetos a respaldo.
d) Definición de medios de almacenamiento autorizados para realizar respaldos.
e) Directrices para generación de respaldos.
f) Directrices para pruebas de respaldos.
g) Directrices para periodos de resguardo de respaldos.
h) Directrices para destrucción de respaldos.
i) Definición de ubicación física de respaldos fuera del centro de datos relacionado
con la prestación de servicios de prevalidación electrónica.
j) Penalizaciones por incumplimiento de lo establecido en la política.
k) Lineamientos de atención a situaciones no contempladas en el documento y que
afecten la prestación de servicios de prevalidación electrónica.
l) Control de versiones de la política (fecha, participantes y control de cambios).
m) Periodicidad de revisión de la política.
Q. Registro y monitoreo
1. Documentación que permita identificar los registros de actividades de los sistemas
de información, sistemas operativos y cualquier otro activo relacionado a la prestación
de servicios de prevalidación electrónica, los referidos registros deben contener:
a) Identificador del usuario que realiza la actividad.
b) Descripción de la actividad realizada.
c) Origen de la conexión al sistema.
d) Resultado de la actividad efectuada.
e) Todos los registros deben ser generados solo como lectura para todos los
usuarios.
f) Controles contra pérdida, destrucción, falsificación, acceso no autorizado y
distribución no autorizada.
El Prevalidador o el Aspirante debe generar registros de actividades independientes
para administradores y cuentas privilegiadas, para lo cual debe contemplar lo descrito
en el inciso e).
2. Documentación técnica del protocolo NTP, equipo o servicio que implemente este
protocolo utilizado para la sincronización de relojes de los sistemas, redes y servicios
de red relacionados con la prestación de servicios de prevalidación electrónica.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
19
R. Control de software operativo 1. Documentación que describa las configuraciones de los activos relacionados con la
prestación de servicios de prevalidación electrónica, equipos de los empleados y
equipos de red, debe contener:
a) Para equipos de empleados:
i. Protección del BIOS.
ii. Limitación de derechos de acceso a configuraciones de sistema.
iii. Configuración de bloqueo automático por tiempo de inactividad.
iv. Restricción de instalación de programas.
v. Inhabilitación de puertos físicos utilizados en transferencia de
información o almacenamiento (salvo autorización formal).
vi. Configuraciones de seguridad del fabricante (no deben derivar en
incumplimiento de políticas del Prevalidador electrónico).
b) Para activos relacionados con las actividades del Prevalidador o del Aspirante:
i. Protección del BIOS.
ii. Configuración de puertos, protocolos y servicios requeridos para su
operación.
iii. Configuración de registros de actividades.
iv. Inhabilitación de puertos, protocolos y servicios no requeridos para su operación.
v. Inhabilitación de puertos físicos utilizados en transferencia de
información o almacenamiento (salvo autorización formal).
vi. Instalación de sistema operativo en partición exclusiva.
vii. Configuración de reglas de filtrado de paquetes, detección y prevención
de intrusos.
viii. Configuraciones de seguridad del fabricante (no deben derivar en
incumplimiento de políticas del Prevalidador o Aspirante).
c) Para equipos de red:
i. Configuración de registros de actividades.
ii. Configuración de gestión de tráfico de paquetes.
iii. Controles de seguridad en redes expuestas e internas en las oficinas del
Prevalidador o del Aspirante y centro de datos relacionado con la
prestación de servicios de prevalidación electrónica.
iv. Segregación de redes.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
20
S. Administración de vulnerabilidades técnicas
1. Documentación que describa el procedimiento mediante el cual el Prevalidador o el
Aspirante gestiona las vulnerabilidades técnicas de los activos relacionados con la
prestación de servicios de prevalidación electrónica, en equipos de los empleados y
equipos de red, los cuales deben contener:
a) Calendarización de análisis de vulnerabilidades.
b) Protocolo de análisis de vulnerabilidades.
c) Documentación de resultados de análisis de vulnerabilidades.
d) Clasificación de vulnerabilidades.
e) Diseño de planes de remediación de vulnerabilidades.
f) Pruebas de penetración para activos críticos.
g) Documentación de resultados de pruebas de penetración.
h) Diseño de planes de remediación de resultados de pruebas de penetración.
T. Transferencia de información
1. Documentación que describa los controles implementados para la protección de
transferencia de información contra intercepción, copia no autorizada, modificación,
borrado, pérdida y transmisión de código malicioso; el Prevalidador o el Aspirante, debe
contar con acuerdos firmados de transferencia de información con proveedores.
2. Acuerdos de confidencialidad celebrados con empleados y proveedores (se solicitará
una muestra física y digital de originales durante la verificación).
U. Seguridad en el desarrollo y procesos de soporte
1. Documentación que permita identificar controles implementados por el Prevalidador
o Aspirante, para servicios expuestos, la cual debe contener:
a) Controles de seguridad contra fraudes y exposición de información, entre
otros.
b) Controles para evitar transmisión incompleta de transacciones, mal
enrutamiento, alteración de mensajes, revelación de información, copia no
autorizada y respuestas no autorizadas.
2. Política de desarrollo seguro, la cual debe contener:
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
21
a) Definición de desarrollo seguro del Prevalidador o del Aspirante.
b) Marco de referencia de desarrollo seguro, se debe incluir la referencia en la
documentación de cada desarrollo.
c) Directrices de seguridad para desarrollos internos y requeridos a proveedores.
d) Directrices de aceptación de desarrollos.
e) Directrices para definir la propiedad intelectual de los desarrollos contratados
con terceros.
f) Restricciones de cambios en software de propósito general (ofimática, diseño
y base de datos, entre otros).
g) Entorno seguro para desarrollos realizados por empleados.
h) Penalizaciones por incumplimiento de lo establecido en la política.
i) Lineamientos de atención a situaciones no contempladas en el documento y
que afecten la prestación de servicios de prevalidación electrónica.
j) Control de versiones de la política (fecha, participantes y control de cambios).
k) Periodicidad de revisión de la política.
3. Documentación que describa la gestión de cambios en los sistemas relacionados con
la prestación de servicios de prevalidación electrónica, debe contener:
a) Protocolo de control de cambios.
b) Formatos utilizados para el control de cambios.
c) Esquema de autorización de control de cambios.
d) Pruebas de los cambios en ambientes de desarrollo, pruebas y producción
(operación).
e) Documentación de resultados de pruebas.
f) Pruebas después de la liberación del cambio.
g) Documentación de resultados de pruebas.
h) Registro de control de versiones de los desarrollos.
i) Resguardo de repositorios de versiones de desarrollos.
V. Seguridad de la información en relaciones con proveedores y
gestión de prestación de servicios de los proveedores
1. Política de relaciones con proveedores, la cual debe contener:
a) Definición de relaciones con proveedores del Prevalidador o del Aspirante.
b) Directrices para definir alcance y objetivo de los acuerdos con proveedores.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
22
c) Directrices para definir las condiciones de entrega de servicio de los
proveedores.
d) Directrices para autorizar el acceso a la información de contribuyentes a los
proveedores.
e) Controles de seguridad para los servicios.
f) Inclusión de cláusula de auditoría para la contratación de servicios con
proveedores.
g) Directrices para realizar cambios en las condiciones de entrega de servicios.
h) Penalizaciones por incumplimiento de lo establecido en la política.
i) Lineamientos de atención a situaciones no contempladas en el documento y
que afecten la prestación de servicios de prevalidación electrónica.
j) Control de versiones de la política (fecha, participantes y control de cambios).
k) Periodicidad de revisión de la política.
W. Administración de incidentes de seguridad de la información y
mejoras
1. Documentación que describa el protocolo de atención a incidentes que afecten la
confidencialidad, integridad o disponibilidad de la información de los contribuyentes, la
cual debe contener:
a) Roles y responsabilidades.
b) Clasificación de incidentes.
c) Documentación de incidentes.
d) Recolección de evidencia del incidente.
e) Alimentación de base de conocimientos.
f) Tabla de escalamiento.
g) Tiempos de respuesta.
h) Directrices para remediación de incidentes.
X. Redundancias
1. Documentación que describa los esquemas de alta disponibilidad que el Prevalidador
o del Aspirante, implementa para las actividades relacionadas con la prestación de
servicios de prevalidación electrónica.
Y. Continuidad de la seguridad de la información 1. Documentación que describa los planes de continuidad del Prevalidador o del
Aspirante, la cual deben contener:
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
23
a) Determinación de escenarios que pongan en riesgo la continuidad del negocio.
b) Roles y responsabilidades.
c) Protocolos de respuesta ante ocurrencia de los escenarios descritos en el inciso
a).
d) Documentación de resultados de la ejecución.
e) Diseño de pruebas.
f) Acondicionamiento para realizar pruebas.
g) Documentación de resultados de pruebas.
h) Adecuaciones a los planes.
i) Revisión periódica de los planes.
2. Documentación que describa los planes de recuperación de desastres del
Prevalidador o del Aspirante, los cuales deben contener:
a) Determinación de escenarios que el Prevalidador o Aspirante identifique como
desastre.
b) Roles y responsabilidades.
c) Protocolos de respuesta ante ocurrencia de los escenarios descritos en el inciso
a).
d) Documentación de resultados de la ejecución.
e) Diseño de pruebas.
f) Acondicionamiento para realizar pruebas.
g) Documentación de resultados de pruebas.
h) Adecuaciones a los planes.
i) Revisión periódica de los planes.
Z. Revisión de seguridad de la información
1. Documentación en la que se defina un calendario de verificaciones independientes
de seguridad de la información. El término independiente se refiere a que debe llevarse
a cabo por personal que no haya participado en el diseño o implementación de los
controles o que pertenezca a las áreas evaluadas, el personal puede ser interno o
externo.
2. Procedimientos para proporcionar a los usuarios la asistencia técnica necesaria con
relación al enlace para la transmisión de información y prevalidación de los pedimentos.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
24
V.Procedimiento para obtener el oficio de validación y opinión
técnica.
Los prevalidadores o aspirantes interesados en obtener el oficio de validación y opinión
técnica emitido por la ACAJA, con el que se acredite el cumplimiento de las obligaciones
a que se refiere la Regla 1.8.2. fracciones X y XV de las RGCE y la ficha de trámite 24/LA
que se señala a continuación:
a) Solicitud de validación y opinión técnica
La solicitud se deberá presentar ante la ACAJA sita en Avenida Hidalgo 77, Módulo IV,
Planta baja, Colonia Guerrero, Delegación Cuauhtémoc, Código Postal 06300, Ciudad
de México en los horarios señalados en la Regla 1.2.4 de las RGCE, mediante escrito libre cumpliendo con lo dispuesto en la Regla 1.2.2. de las RGCE, en relación con los
artículos 18 y 18-A del Código Fiscal de la Federación con la firma autógrafa del
representante legal de la persona moral solicitante, y con la siguiente información:
1. Nombre, números telefónicos, correo electrónico y cargo dentro de la empresa
de la persona que se designa como contacto único con el SAT para
efectos del presente procedimiento.
2. Dirección de correo electrónico y números telefónicos del representante legal.
3. Domicilios de las instalaciones en las que se lleva a cabo la operación del
Prevalidador o del Aspirante y sus centros de datos, indicando:
a) Calle, numero interior, número y/o letra exterior, número y/o letra interior,
colonia, código postal, municipio o delegación y Entidad Federativa.
b) Informar si se trata de matriz, sucursal, centro de datos u otro.
4. Deberá contener la siguiente leyenda Manifiesta mi representada que cumple
completamente con los puntos contenidos en los presentes lineamientos y
cuenta con evidencia del cumplimiento de cada uno de los puntos ahí
expresados
5. Solicitud expresa al SAT para que realice las verificaciones respecto de
seguridad de la información.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
25
6. Leyenda que contenga lo Manifiesto que mi representada facilitará
los elementos para la realización de la verificación de la seguridad de la
Lineamientos que deben de
observar quienes tengan la autorización para prestar los servicios de
prevalidación electrónica de pedimentos , así
como con lo dispuesto en la Regla 1.8.2, fracciones X y XV de las Reglas
7. Anexar en medio magnético la evidencia que acredite el cumplimiento de
cada uno de los puntos señalados en los presentes lineamientos, detallando
en el escrito de solicitud a qué punto particular se refiere cada evidencia y
contener los HASH MD5 (VER ANEXO 1) correspondientes a cada archivo o
contenidos en un sólo archivo en formato zip, en la solicitud se deberá indicar
la cantidad de archivos y carpetas que contiene el medio magnético.
En caso de que los documentos o la información proporcionada al SAT,
contenga información confidencial, reservada o comercial reservada en
términos de las disposiciones jurídicas aplicables, deberán señalarlo
expresamente indicando la información que tenga ese carácter.
8. Se deberá anexar el formato señalado en el ANEXO 3, en el cual se informe
cómo cumple con lo establecido en cada uno de los controles de seguridad a
que se refieren la fracción IV de los presentes lineamientos, por lo que deberá
anexar los procedimientos en idioma español que, en su caso, se requieran, o
brindar una explicación detallada de lo solicitado en el campo de
, el cual es informativo y no vinculante.
En caso de que la solicitud se encuentre incompleta o el medio magnético no
contenga la documentación descrita en la solicitud o el mismo presente
inconsistencias, la ACAJA requerirá por única ocasión al solicitante, para que, en un
plazo de diez días hábiles a partir del día siguiente a su notificación, presente escrito con la firma autógrafa del representante legal, presentando la información o
documentación faltante. En caso de no presentarla, completa y correctamente en
el plazo señalado, la solicitud se tendrá por no presentada.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
26
b) Verificación en sitio.
La ACAJA, notificará al Prevalidador autorizado o al Aspirante, según sea el caso, el
oficio en el cual se informará, el periodo en que se realizará la verificación en sitio y los
nombres de los servidores públicos que instrumentarán dicha verificación.
Para la instrumentación de la verificación en sitio se estará a lo siguiente:
1. La verificación se realizará en el lugar o lugares señalados y en el periodo
previamente notificado, misma que deberá ser atendida por el enlace único
designado y/o por el representante legal del Prevalidador o del Aspirante, según
sea el caso, quien deberá presentar copia de su identificación oficial y el original
para el cotejo correspondiente.
En caso de la verificación en sitio se atienda con el representante legal, éste podrá
designar en el acto a una persona como contacto con el SAT para efectos del
presente procedimiento.
2. Los servidores públicos que acudan a la verificación en sitio se identificarán ante
el contacto designado y/o ante el respresentante legal.
Asimismo, se le requerirá para que designe dos testigos; si éstos no son
designados o los designados no aceptan fungir como tales, el personal del SAT
los designará, haciendo constar esta situación en el acta que levante, sin que esta
circunstancia invalide los resultados de la verificación.
3.El personal actuante levantará acta en la que se harán constar en forma
circunstanciada los hechos, así como la información y fotografías recabada
durante la verificación.
Las fotografias se solicitarán por parte del SAT al contacto único o representante
legal del prevalidador o aspirante, con el exclusivo propósito de documentar las
evidencias presentadas por el prevalidador o aspirante.
4. Para el cierre de la verificación en sitio deberá asistir el representante legal del autorizado o aspirante o bien, la persona debidamente facultada por el mismo,
quien firmará el acta de conclusión de la verificación.
En caso de que el representante legal, la persona designada o los testigos se
nieguen a firmar el acta, o la persona con quien se entendió la diligencia se niega
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
27
a aceptar copia del acta, dicha circunstancia se asentará en la misma acta, sin que
esto afecte su validez y valor probatorio, dándose por concluida la verificación.
c) Oficio de resultados
En caso de que no se acredite el 100% de los controles de seguridad de la información
a que se refieren los presentes Lineamentos, relativos a las fracciones X y XV, de la
regla 1.8.2., se notificará el oficio de resultados con las observaciones correspondientes
al Prevalidador.
El porcentaje de cumplimiento [% cumplimiento], se calcula con base en las 221 claves
de los controles de seguridad indicados en el Anexo 4 [totalidad de claves de los
controles], por lo tanto, el 100% de cumplimiento corresponde a la acreditación de los
221 controles y se calcula con la siguiente formula:
% 𝐶𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 = (𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑎𝑐𝑟𝑒𝑑𝑖𝑡𝑎𝑑𝑜𝑠
𝑇𝑜𝑡𝑎𝑙𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑙𝑎𝑣𝑒𝑠 𝑑𝑒 𝑙𝑜𝑠 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 ) × (100)
El Prevalidador podrá presentar escrito libre ante la ACAJA, dentro de los dos meses
posteriores a la notificación del oficio de resultados, respecto de los controles que no
se cumplieron en la verificación y que fueron dados a conocer adjuntando la siguiente
información y documentación:
1. Anexar en medio magnético la evidencia que acredite el cumplimiento de los
citados controles, detallando en el escrito de solicitud a qué punto particular
se refiere cada evidencia y contener el HASH MD5 (VER ANEXO 1)
correspondiente al archivo en formato zip, que contenga la totalidad de la información y documentación, en el escrito se deberá indicar la cantidad de
archivos y carpetas que contiene el citado archivo zip.
En caso de que los documentos o la información proporcionada al SAT,
contenga información confidencial, reservada o comercial reservada en
términos de las disposiciones jurídicas aplicables, deberán señalarlo
expresamente indicando la información que tenga ese carácter.
2. Se deberá anexar el formato señalado en el ANEXO 3, en el cual se informe
cómo cumple con lo establecido en cada uno de los controles de seguridad,
por lo que deberá anexar los procedimientos en idioma español que, en su
caso, se requieran, o brindar una explicación detallada de lo solicitado en el
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
28
campo de , el cual es informativo y no vinculante.
3. Tratándose de aquellos controles que por su complejidad o dificultad en su
implementación no puedan ser acreditados a la presentación del escrito a que
se refiere el párrafo tercero del presente apartado, el prevalidador deberá
presentar un programa de trabajo en el que desglose la forma y
calendarización en que llevará a cabo la implementación de los mismos. Dicho
programa de trabajo deberá considerar la conclusión e implementación de todas las acciones en un plazo máximo que no podrá exceder del 1 de julio de
2019.
Una vez concluido e implementado el programa de trabajo señalado en el
párrafo anterior, el Prevalidador deberá presentar escrito en el que se
adjunten los documentos señalados en los numerales 1 y 2, relativos a los
controles faltantes.
4. Cuando el prevalidador, no acredite el cumplimiento de alguno de los controles
en los términos señalados en los presentes lineamientos, en virtud de contar
con un mecanismo con el que estima que cumple con el objetivo del control,
deberá manifestarlo en un documento en el que se especificarán los
mecanismos o medidas alternas con los cuales se da cumplimiento a dicho
control, lo anterior, será valorado por el SAT, quien resolverá lo conducente.
Si derivado de la revisión a los elementos proporcionados por el Prevalidador, se
acredita el cumplimiento de los controles de seguridad de la información a que se
refieren las fracciones X y XV de la regla 1.8.2., en un porcentaje igual o superior al 80%
del total de lo requerido, se notificará el oficio de resultados, debiendo entenderse que
se tiene por atendido lo previsto en el penúltimo párrafo de la regla 1.8.1.
Para todos los casos, se dejan a salvo las facultades de comprobación de la autoridad
aduanera, para verificar el cumplimento de la totalidad de los controles a que se
refieren los presentes lineamientos, relacionados con las fracciones X y XV de la regla
1.8.2., en cualquier tiempo, a partir del 1 de julio de 2019, en donde la autoridad
resolverá lo conducente.
d) Entrega de oficio de validación y opinión técnica
Posterior a la verificación, cuando corresponda, la ACAJA notificará el oficio de
respuesta a la solicitud de validación y opinión técnica, en el cual se indicará si el
prevalidador o aspirante cumple con lo descrito en los presentes lineamientos.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
29
Tratándose de los aspirantes, cuando no acrediten el 100 % de los controles, podrán
presentar una nueva solicitud para obtener el oficio de validación y opinión técnica
favorable a que se refiere la fracción XV de la regla 1.8.2., sin que exceda de dos
solicitudes en un año calendario.
VI.Continuidad en operaciones
Las personas autorizadas podrán continuar prestando los servicios de prevalidación
electrónica de datos, contenidos en los pedimentos, siempre que se haya notificado el
oficio de resultados, en el que se les informe que han acreditado un porcentaje igual o
superior al 80% de atención del total de lo referido en las fracciones X y XV de la regla
1.8.2., o en su caso, cuando hayan presentado escrito con el respectivo programa de
trabajo, en términos de lo previsto en el inciso c del anterior numeral V.
Lo anterior, aplicará durante el periodo en que se resuelva su escrito según
corresponda, para el caso de que con posterioridad al 1 de julio de 2019, las
autoridades aduaneras en ejercicio de sus facultades detecten el incumplimiento de los
previsto en las fracciones X y XV de la regla 1.8.2., procederán conforme a lo señalado
en las disposiciones jurídicas aplicables.
VII.Carta Compromiso de Confidencialidad, Reserva y
Resguardo de Información y datos
Para efectos de la fracción VI de la Regla 1.8.2. RGCE en el anexo 2 de los presentes
lineamientos, se encuentra el formato de Carta Compromiso de Confidencialidad,
Reserva y Resguardo de Información y datos, que se deberá presentar debidamente
firmada por el representante legal del prevalidador o aspirante ante la ACAJA y deberá
renovarse cuando exista cambio en la representación legal.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
30
Elaboró
Elaboró
-------------------------------------------
-
Administradora de Modernización
-----------------------------------------------
-
Administrador de Apoyo Jurídico de
3
Elaboró
-------------------------------------------
-
Administrador de Apoyo Jurídico de
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
31
Anexo 1
Función Hash
Es un algoritmo que consigue crear a partir de una entrada (ya sea un texto, una
contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud
normalmente fija que representa un resumen de toda la información que se le ha dado,
(es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a
crear con esos mismos datos). El utilizar la función Hash da como resultado un
identificador único para la adquisición de datos. El uso de esta función es la de
garantizar la integridad de los datos. Tanto MD5 y SHA-256 son algoritmos que se
utilizan comúnmente para identificar de manera casi univoca el contenido de los
archivos.
Los algoritmos disponibles y el tamaño del valor Hash resultante se muestran en la
siguiente tabla:
Descripción Resultado
MD5 128 bits
SHA-256 256 bits Ejemplo:
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
32
Anexo 2
Carta Compromiso de Confidencialidad, Reserva y
Resguardo de Información y datos.
CIUDAD DE MÉXICO, A __DE ____________ DE ____.
SERVICIO DE ADMINISTRACIÓN TRIBUTARIA
Administración General de Aduanas
Administración Central de Apoyo Jurídico de Aduanas
P R E S E N T E:
En la Ciudad de _____________, siendo las _____ horas del día _____ de ______
de ___, el C. _______________, quien cuenta con credencial para votar, expedida
por el Instituto Nacional Electoral con clave de elector ___________, en nombre y
representación legal de la sociedad ____________, en lo sucesivo el OBLIGADO,
misma que se anexa en copia simple como anexo del presente documento, en este
acto suscribe la presente carta compromiso mediante la cual, en nombre y
representación del OBLIGADO, acepta formalmente las condiciones de resguardo,
reserva, custodia y protección de la seguridad y confidencialidad de todo tipo de
información y documentos propiedad del Servicio de Administración Tributaria (SAT)
en lo particular de la que tenga conocimiento.
CONDICIONES DEL SAT QUE EL OBLIGADO SE COMPROMETE A OBSERVAR:
1. Toda la información de los pedimentos y sus anexos está considerada así como la
proporcionada por el SAT, según el caso, como reservada y confidencial, en los
términos de las leyes aplicables, por lo que este último se obliga a protegerla,
reservarla, resguardarla y no divulgarla, utilizándola única y exclusivamente para
llevar a cabo y cumplir con las actividades y obligaciones que expresamente le
confiere la autorización para prestar los servicios de prevalidación electrónica de
datos contenidos en los pedimentos, así como la normatividad aplicable a la
misma.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
33
2. Es responsabilidad del OBLIGADO que el personal a su cargo que intervenga en
cualquiera de las actividades como pravalidador autorizado, reserve, proteja,
guarde y custodie la información y documentación propiedad del SAT, así como a
restituirla cuando este último se lo requiera.
En el entendido de que el OBLIGADO en ningún momento revelará o hará uso de
la información confidencial y reservada.
3. A partir de que le sea otorgada la autorización para operar como persona
autorizada para prevalidar pedimentos y aun en los años posteriores a que no
se cuente con la autorización, el OBLIGADO deberá mantener la más estricta
confidencialidad de toda la información y documentación que le sea revelada por
el SAT, por lo que bajo ninguna circunstancia divulgará dicha información y
documentación, ni la aprovechará para su beneficio o el de terceros.
Por ningún motivo el OBLIGADO elaborará copias o reproducciones de la
información que le sea proporcionada en forma directa o indirecta.
4. El SAT tendrá derecho de exigir en cualquier momento al OBLIGADO la
devolución de la información que le haya proporcionado de forma directa o
indirecta, derivado de la actividad como prevalidador de pedimentos, durante o
después de la vigencia de la autorización obtenida.
5. El OBLIGADO será responsable en caso de que la información sea divulgada por
su personal en activo o aquél que haya laborado y que hubiere tenido acceso a la
información antes mencionada.
6. El OBLIGADO no podrá transmitir o ceder en forma alguna los derechos y
obligaciones que asume en virtud de la presente carta y de la autorización
obtenida.
Cualquier aviso o requerimiento que el OBLIGADO y el SAT deban hacerse con
motivo de la presente carta deberá ser enviado por escrito.
El C. _________________, en su carácter de representante legal acepta haber leído
y comprendido las condiciones de resguardo, reserva, custodia y protección de la
seguridad y confidencialidad de todo tipo de información y documentación de que
tenga conocimiento, con motivo de su actividad como Prevalidador de pedimentos,
descritas en este documento y declara bajo protesta de decir verdad, en nombre de la
persona moral _________, como a título personal, que se compromete a cumplirla en
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
34
su totalidad, sin menoscabo de las demás obligaciones y prohibiciones establecidas en
la normatividad fiscal aplicable, en el entendido de que el incumplimiento a cualquiera
de estas será causa de la aplicación de las sanciones correspondientes e inclusive la
cancelación de la autorización.
______________________________
(NOMBRE Y FIRMA DEL
REPRESENTANTE LEGAL)
(NOMBRE O RAZÓN SOCIAL DE LA
EMPRESA)
(NÚMERO TELEFÓNICO DE LA
EMPRESA)
(E-MAIL DE LA EMPRESA)
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
35
Anexo 3
NÚMERAL Y DESCRIPCIÓN DEL CONTROL:
(INDICA EL CONTROL SOBRE EL CUAL SE REFIERE LA RESPUESTA Y OBSERVACIONES)
Respuesta : OBSERVACIONES
(INDICAR Y DESCRIBIR LA FORMA EN QUE EL PREVALIDADOR O ASPIRANTE CUMPLE
CON EL CONTROL Y LAS EVIDENCIAS GENERADAS PARA DEMOSTRAR DICHO
CUMPLIMIENTO)
CAMPO OPCIONAL PARA
PRECISAR O AMPLIAR LA
RESPUESTA.
*Este formato se deberá presentar por cada control
EJEMPLO:
NÚMERAL Y DESCRIPCIÓN DEL CONTROL:
A. Gestión de riesgos
1.
a) Identificación de escenarios de riesgo: riesgos a los que se encuentra
expuesto el Prevalidador o el Aspirante, por la prestación de sus
servicios, tecnología utilizada, factores humanos, climatológicos y
cambios en la legislación.
Respuesta : OBSERVACIONES
Anexo 4
Claves de los controles de seguridad
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
36
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
A. Gestión de riesgos
1.-Descripción del proceso de
gestión de riesgos, el cual
debe contener las siguientes
directrices:
a) Identificación de escenarios de
riesgo: riesgos a los que se encuentra
expuesto el Prevalidador o el
Aspirante, por la prestación de sus
servicios, tecnología utilizada,
factores humanos, climatológicos y
cambios en la legislación .
A.1.a
b) Categorización o tipificación de los
riesgos a los que se encuentra
expuesto el Prevalidador o el
Aspirante, y niveles de aceptación del
riesgo definidos por éste.
A.1.b
c) Criterios para reducir los riesgos a
niveles aceptables por el Prevalidador
o el Aspirante
A.1.c
d) Criterios para la revisión
permanente de los riesgos e
identificar los cambios, en el entorno
que puedan incrementar el nivel de
riesgo del Prevalidador o del
Aspirante
A.1.d
2.-Análisis de riesgos
realizado por el Prevalidador o
el Aspirante
El contenido debe incluir al menos las
actividades relacionadas con la
prestación de servicios de
Prevalidación electrónica, incluyendo
la identificación de riesgos a los que
se encuentra expuesto,
categorización y planes de
remediación, reducción del impacto o
probabilidad de materialización de los
riesgos; el documento debe
contemplar riesgos relacionados con
proveedores y todo aquel personal
ajeno al Prevalidador que tenga
acceso a la información de los
contribuyentes.
A.2
B. Política de
seguridad de la
información
1.-Política de seguridad de la
información, la cual debe
contener:
a) Definición de seguridad de la
información del Prevalidador o del
Aspirante.
B.1.a
b) Normatividad, legislación y marcos
de referencia aplicables al
Prevalidador o al Aspirante
B.1.b
c) Roles y responsabilidades de la
seguridad de la información. B.1.c
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
37
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
d) Compromiso expreso de la
dirección con la seguridad de la
información.
B.1.d
e) Lineamientos de seguridad de la
información. B.1.e
f) Penalizaciones por incumplimiento
a lo establecido en la política. B.1.f
g) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de pre-
validación electrónica.
B.1.g
h) Lineamientos de seguridad de la
información para proveedores y todo
aquel personal ajeno al Prevalidador o
al Aspirante que tenga acceso a la
información de los contribuyentes.
B.1.h
i) Comunicación formal del
documento a todo el personal
relacionado con la prestación de
servicios de pre-validación
electrónica.
B.1.i
j) Control de versiones de la política
(fecha, participantes y control de
cambios).
B.1.j
k) Periodicidad de revisión de la
política. B.1.k
C. Aspectos
organizacionales
1.-Identificación de los diferentes puestos definidos por el
Prevalidador o por el Aspirante, así como sus respectivos roles,
actividades y responsabilidades.
C.1
2.-Documentación en la que se especifique cómo el Prevalidador o el
Aspirante evita el conflicto de intereses de los diferentes puestos,
respecto a sus actividades, roles y responsabilidades
C.2
3.-Descripción del procedimiento mediante el cual el Prevalidador o el
Aspirante, contactará al SAT para reportar fallas de infraestructura o
incidentes que pongan en riesgo la confidencialidad, disponibilidad e
integridad de la información de los contribuyentes.
C.3
4.-Documentos o formularios de inscripción (RSS, listas de correo y
boletines, entre otros) con grupos de interés especial en seguridad
informática y de la información.
C.4
5.- Política de trabajo remoto
para empleados, la cual debe
contener:
a) Definición del trabajo remoto para
el Prevalidador o para el Aspirante C.5.a
b) Condiciones mediante las cuales se
autoriza el trabajo remoto. C.5.b
c)Aprovisionamiento para el trabajo
remoto. C.5.c
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
38
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
d) Periodo de autorización del trabajo
remoto. C.5.d
e) Penalizaciones por incumplimiento
a lo establecido en la política. C.5.e
f) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de pre-
validación electrónica.
C.5.f
g) Directrices para la cancelación del
aprovisionamiento de trabajo
remoto.
C.5.g
h) Control de versiones de la política
(fecha, participantes y control de
cambios).
C.5.h
i) Periodicidad de revisión de la
política. C.5.i
6.- Documentación para la autorización del uso de equipos móviles
(teléfono celular y tableta, entre otros) en el manejo de información
de los contribuyentes, por cualquier medio (correo electrónico y
aplicativos, entre otros)
C.6
D. Seguridad en el
personal
Antes de la contratación
1.-Procedimientos que realiza el
Prevalidador o el Aspirante, para la
selección del personal, verificación de
desempeño e incidencias presentadas
en empleos anteriores.
D.1
2.-Términos y condiciones del
empleo, así como la forma en la que el
Prevalidador o el Aspirante, comunica
dicha información al personal en el
proceso de contratación.
D.2
Durante la contratación
3.-Documentación acerca de la
capacitación en materia de seguridad
de la información, que el Prevalidador
o el Aspirante, provee a los
empleados.
D.3
Término o cambio
4.-Documentación que contenga
directrices y procedimientos para la
gestión de la terminación de la
relación contractual con los
empleados y, en su caso, cuando se
modifiquen las actividades, roles y
responsabilidades.
D.4
E. Responsabilidad de
los activos
1.- Documentación en la que
se liste el inventario de
a)Identificador del activo. E.1.a
b)Dirección IP del activo. E.1.b
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
39
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
activos del Prevalidador o el
Aspirante, relacionados con la
prestación de servicios de
prevalidación electrónica, y
que debe contener:
c)Características del activo (marca,
modelo, serie y sistema operativo,
entre otros).
E.1.c
d)Propietario del activo. E.1.d
e)Responsable del activo. E.1.e
f)Ubicación física del activo. E.1.f
2. Política de uso aceptable de
activos, la cual debe contener:
a) Definición de uso aceptable de
activos del Prevalidador o del
Aspirante.
E.2.a
b) Directrices bajo las cuales el
Prevalidador o el Aspirante debe
considerar el uso aceptable de
activos.
E.2.b
c) Penalizaciones por incumplimiento
de lo establecido en la política. E.2.c
d) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de
Prevalidación electrónica.
E.2.d
e) Control de versiones de la política
(fecha, participantes y control de
cambios).
E.2.e
f) Periodicidad de revisión de la
política. E.2.f
3.-Documentación que describa el procedimiento de retorno de
activos tangibles y no tangibles de los empleados al Prevalidador o al
Aspirante, ante el término de la relación contractual o cambios en las
actividades, roles y responsabilidades.
E.3
F. Clasificación de la
Información
1.- Política de clasificación de
la información, debe
contener:
a)Definición de clasificación de
información del Prevalidador o del
Aspirante.
F.1.a
b) Rubros en los que será clasificada
la información. F.1.b
c) Directrices para la clasificación de
información. F.1.c
d) Penalizaciones por incumplimiento
de lo establecido en la política. F.1.d
e) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de
Prevalidación electrónica.
F.1.e
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
40
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
f) Control de versiones de la política
(fecha, participantes y control de
cambios).
F.1.f
g) Periodicidad de revisión de la
política F.1.g
2.-Documentación que describa el procedimiento de etiquetado de la
información en los sistemas de ésta y físicamente cuando la
información se encuentre relacionada con la prestación de servicios
de Prevalidación electrónica
F.2
3.-Documentación que describa las condiciones para manejar la
información de acuerdo a su clasificación ya sea en formato físico o
digital
F.3
G. Manejo de medios
1.-Documentación que describa el procedimiento para administrar el
uso de medios removibles de almacenamiento, que deben ser
utilizados por los empleados del Prevalidador o del Aspirante, bajo
G.1-1
...así como las directrices para el traslado de los referidos medios
dentro y fuera de las oficinas del Prevalidador o del Aspirante, y/o
centro de datos relacionado con la prestación de servicios de
Prevalidación electrónica.
G.1-2
H. Requerimientos de
control de acceso
1.- Política de control de
accesos a los sistemas, la cual
debe contener:
a) Definición de acceso a los sistemas
del Prevalidador o del Aspirante. H.1.a
b ) Directrices para el uso y operación
de sistemas. H.1.b
c) Penalizaciones por incumplimiento
de lo establecido en la política. H.1.c
d) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de
Prevalidación electrónica.
H.1.d
e) Control de versiones de la política
(fecha, participantes y control de
cambios).
H.1.e
f) Periodicidad de revisión de la
política. H.1.f
2.-Documentación que describa las restricciones implementadas por
el Prevalidador o el Aspirante, para el uso de redes y servicios de red
ajenos a las actividades, roles y responsabilidades de los empleados y
de los proveedores
H.2
I. Requerimientos de
control de acceso y
administración de
accesos de usuario
1.-Documentación que describa el procedimiento para realizar el
registro de usuarios en los sistemas, redes y servicios; así como el
procedimiento para inhabilitar el acceso a los sistemas, redes y
servicios relacionados con la prestación de servicios de Prevalidación
electrónica
I.1
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
41
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
2.-Documentación que describa las condiciones mediante las cuales
el Prevalidador o el Aspirante, otorgará las facilidades y activos
necesarios a los empleados para que desempeñen sus actividades,
conforme al puesto.
I.2
3.- Documentación que
describa el procedimiento
mediante el cual los
administradores de los
sistemas relacionados con la
prestación de servicios de
prevalidación electrónica,
gestionan los derechos de
acceso a los usuarios, la cual
debe contener:
a) Protocolo de alta del empleado. I.3.a
b) Cambios en actividades, roles y
responsabilidades del empleado. I.3.b
c) Generación y gestión de cuentas
privilegiadas en los sistemas. I.3.c
d) Procedimiento mediante el cual los
administradores de los sistemas
verifican que los permisos y niveles de
acceso de los empleados
correspondan a sus actividades, roles
y responsabilidades.
I.3.d
J. Responsabilidades
de los usuarios
1.-Documentación que describa el procedimiento de gestión de la
información de autenticación en los sistemas relacionados con la
prestación de servicios de Prevalidación electrónica, y que el
Prevalidador o el Aspirante, debe seguir para entregar dicha
información a los empleados por primera vez, en caso de que el
usuario solicite cambio de información de autenticación y el cambio
obligatorio de información de autenticación en el primer inicio de
sesión de los usuarios
J.1
2.-Documentación que describa la comunicación de
responsabilidades formalmente a los empleados. J.2
3.-Documentación que describa el procedimiento mediante el cual se
asegura que el inicio de sesión a los sistemas, redes y servicios
relacionados con la prestación de servicios de Prevalidación
electrónica es protegido contra personal no autorizado o ajeno al
Prevalidador o al Aspirante, implementación de esquemas de
autenticación que permitan que los empleados utilicen contraseñas
que cumplan con los requerimientos del Prevalidador o del Aspirante,
así como de mejores prácticas respecto a la longitud y composición.
J.3
4.-Documentación que describa las condiciones bajo las cuales se
autoriza el uso de herramientas de gestión y análisis de
vulnerabilidades, monitoreo de actividades y de cualquier otra
naturaleza, que puedan ser configuradas para omitir los controles de
seguridad de los sistemas relacionados con la prestación de servicios
de Prevalidación electrónica; se debe mantener un registro
permanente e independiente del listado de este tipo de herramientas
J.4
5.-Documentación que describa el procedimiento mediante el cual el
Prevalidador o el Aspirante, autoriza el acceso al código fuente de los
sistemas y aplicativos relacionados con las actividades del
Prevalidador, debe incluir las condiciones necesarias para solicitar el
acceso.
J.5
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
42
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
K. Controles de cifrado 1. Política de controles de
cifrado, la cual debe contener:
a) Definición de los sistemas, redes y
servicios que implementan controles
de cifrado.
K.1.a
b) Condiciones para el uso de
controles de cifrado. K.1.b
c) Administración de llaves utilizadas
en los controles de cifrado (uso,
resguardo y disposición, entre otros).
K.1.c
d) Penalizaciones por incumplimiento
de lo establecido en la política. K.1.d
e) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de
Prevalidación electrónica.
K.1.e
f) Control de versiones de la política
(fecha, participantes y control de
cambios).
K.1.f
g) Periodicidad de revisión de la
política K.1.g
L. Áreas seguras
1.-Documentación que defina los perímetros de seguridad para las
áreas en las que se realiza el procesamiento de transacciones y de
sistemas relacionados con la Prevalidación de pedimentos.
L.1
2.-Documentación de los controles físicos de acceso al centro de
datos del Prevalidador o del Aspirante, dichos controles deben
impedir el acceso a personas que no cuenten con autorización, el
Prevalidador o el Aspirante debe mantener un registro permanente
del personal autorizado para acceder al centro de datos relacionado
con la prestación de servicios de Prevalidación electrónica.
L.2
3.-Documentación de los controles físicos de acceso a las oficinas del
Prevalidador o del Aspirante (acceso principal, áreas de carga y
descarga, entre otros), dichos controles deben impedir el acceso a
personas no autorizadas, manteniendo un registro permanente de la
entrada y salida del personal autorizado.
L.3
4.-Documentación en la que se definan medidas diseñadas por el
Prevalidador o el Aspirante, contra incendio, inundaciones,
terremotos, manifestaciones y cualquier otro fenómeno físico,
meteorológico o social que ponga en riesgo la prestación de servicios
de Prevalidación electrónica.
L.4
5.-Documentación en la que se identifiquen las áreas seguras para el
procesamiento de información de los contribuyentes en las oficinas
del Prevalidador o del Aspirante, y en el centro de datos relacionado
con la prestación de servicios de Prevalidación electrónica.
L.5
M. Equipos 1.- Documentación en la que
se definan las directrices para
a) Condiciones para la instalación de
activos en el centro de datos
relacionado con la prestación de
M.1.a
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
43
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
la gestión de activos, la cual
debe contener:
servicios de Prevalidación electrónica
y oficinas del Prevalidador o del
Aspirante.
b) Requerimientos de seguridad en el
cableado y redes inalámbricas. M.1.b
c) Baja de equipos en las oficinas del
Prevalidador o del Aspirante, y en el
centro de datos relacionado con la
prestación de servicios de
Prevalidación electrónica.
M.1.c
d) Reúso de medios de
almacenamiento. M.1.d
e) Destrucción de medios de
almacenamiento. M.1.e
f) Gestión de garantías en medios de
almacenamiento. M.1.f
g) Borrado seguro de medios de
almacenamiento. M.1.g
2.-Documentación que describa los equipos que dan soporte a la
operación de activos relacionados con las actividades de
Prevalidación de pedimentos (plantas de luz, balanceadores de carga
eléctrica, entre otros).
M.2
3.-Documentación en la que se identifiquen planes de mantenimiento
para los activos relacionados con las actividades del Prevalidador o
del Aspirante; dichos planes deben permitir que en conjunto se cuente
con el soporte de 24x7x365 días para los equipos.
M.3
4.-Documentación en la que se describa el procedimiento para
proteger los equipos que sean utilizados para la prestación de
servicios de Prevalidación electrónica y que se encuentren fuera de
sus oficinas.
M.4
1. Documentación en la que
se definan las directrices para
la gestión de activos, la cual
debe contener:
a) Definición de escritorio limpio del
Prevalidador o del Aspirante. M.5.a
b) Definición de equipo desatendido
del Prevalidador o del Aspirante. M.5.b
c) Directrices para que los empleados
cuenten con escritorio limpio. M.5.c
d) Directrices para equipos
desatendidos. M.5.d
e) Penalizaciones por incumplimiento
de lo establecido en la política. M.5.e
f) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de
Prevalidación electrónica.
M.5.f
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
44
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
g) Control de versiones de la política
(fecha, participantes y control de
cambios).
M.5.g
h) Periodicidad de revisión de la
política. M.5.h
N. Procedimientos y
responsabilidades
operativas
1.-Documentación que incluya el estudio de capacidad tecnológica,
de personal e instalaciones para la prestación de servicios de
Prevalidación electrónica, esta capacidad debe ser evaluada y los
resultados documentados cada 12 meses (de acuerdo al calendario
fiscal).
N.1-1
Se debe entender como capacidad tecnológica, de personal e
instalaciones, a los activos tecnológicos, servicios, personal e
inmuebles que el Prevalidador o Aspirante, requiere para la prestación
de servicios de Prevalidación electrónica, dicho documento se debe
actualizar al inicio del periodo de 12 meses y debe incluir protocolos
para realizar ajustes a dicho estudio antes del término del periodo de
12 meses en caso que la empresa lo requiera.
N.1-2
2.-Documentación que incluya el diagrama de interconexión de los
activos relacionados con la prestación de servicios de Prevalidación
electrónica, y los identificadores descritos en el inventario de activos
(incisos a y b del área de control E numeral 1 ), los activos deben
contar con separación física o lógica de los ambientes de desarrollo,
pruebas y producción (operativo).
N.2
O. Protección contra
código malicioso
1.-Documentación que describa las características de la solución que
el Prevalidador o el Aspirante, implementa contra código malicioso
(detección, prevención y recuperación de sistemas).
O.1
P. Respaldos 1.- Política de respaldos, la
cual debe contener:
a) Definición de respaldos del
Prevalidador o del Aspirante. P.1.a
b) Roles y responsabilidades para
realizar y gestionar respaldos. P.1.b
c) Listado de sistemas, activos y
herramientas que deben ser sujetos a
respaldo.
P.1.c
d) Definición de medios de
almacenamiento autorizados para
realizar respaldos.
P.1.d
e) Directrices para generación de
respaldos. P.1.e
f) Directrices para pruebas de
respaldos. P.1.f
g) Directrices para periodos de
resguardo de respaldos. P.1.g
h) Directrices para destrucción de
respaldos. P.1.h
i) Definición de ubicación física de
respaldos fuera del centro de datos P.1.i
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
45
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
relacionado con la prestación de
servicios de Prevalidación electrónica.
j) Penalizaciones por incumplimiento
de lo establecido en la política. P.1.j
k) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de
Prevalidación electrónica.
P.1.k
l) Control de versiones de la política
(fecha, participantes y control de
cambios).
P.1.l
m) Periodicidad de revisión de la
política. P.1.m
Q. Registro y
monitoreo
1.- Documentación que
permita identificar los
registros de actividades de los
sistemas de información,
sistemas operativos y
cualquier otro activo
relacionado a la prestación de
servicios de prevalidación
electrónica, los referidos
registros deben contener:
a) Identificador del usuario que realiza
la actividad. Q.1.a
b) Descripción de la actividad
realizada. Q.1.b
c) Origen de la conexión al sistema. Q.1.c
d) Resultado de la actividad
efectuada. Q.1.d
e) Todos los registros deben ser
generados solo como lectura para
todos los usuarios.
Q.1.e
f) Controles contra pérdida,
destrucción, falsificación, acceso no
autorizado y distribución no
autorizada.
Q.1.f
El Prevalidador o el Aspirante debe
generar registros de actividades
independientes para administradores
y cuentas privilegiadas, para lo cual
debe contemplar lo descrito en el
inciso e).
Q.1-2
2.-Documentación técnica del protocolo NTP, equipo o servicio que
implemente este protocolo utilizado para la sincronización de relojes
de los sistemas, redes y servicios de red relacionados con la
prestación de servicios de Prevalidación electrónica.
Q.2
R. Control de software
operativo
1.- Documentación que
describa las configuraciones
de los activos relacionados
con la prestación de servicios
de prevalidación electrónica,
equipos de los empleados y
equipos de red, debe
contener:
a) Para equipos de empleados:
i. Protección del BIOS. R.1.a.i
ii. Limitación de derechos de acceso a
configuraciones de sistema. R.1.a.ii
iii. Configuración de bloqueo
automático por tiempo de
inactividad.
R.1.a.iii
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
46
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
iv. Restricción de instalación de
programas. R.1.a.iv
v. Inhabilitación de puertos físicos
utilizados en transferencia de
información o almacenamiento (salvo
autorización formal).
R.1.a.v
vi. Configuraciones de seguridad del
fabricante (no deben derivar en
incumplimiento de políticas del
Prevalidador electrónico).
R.1.a.vi
b) Para activos relacionados con las
actividades del Prevalidador o del Aspirante:
i. Protección del BIOS. R.1.b.i
ii. Configuración de puertos,
protocolos y servicios requeridos para
su operación.
R.1.b.ii
iii. Configuración de registros de
actividades. R.1.b.iii
iv. Inhabilitación de puertos,
protocolos y servicios no requeridos
para su operación.
R.1.b.iv
v. Inhabilitación de puertos físicos
utilizados en transferencia de
información o almacenamiento (salvo
autorización formal).
R.1.b.v
vi. Instalación de sistema operativo en
partición exclusiva. R.1.b.vi
vii. Configuración de reglas de filtrado
de paquetes, detección y prevención
de intrusos.
R.1.b.vii
viii. Configuraciones de seguridad del
fabricante (no deben derivar en
incumplimiento de políticas del
Prevalidador o Aspirante).
R.1.b.viii
c) Para equipos de red:
i Configuración de registros de
actividades. R.1.c.i
ii. Configuración de gestión de tráfico
de paquetes. R.1.c.ii
iii. Controles de seguridad en redes
expuestas e internas en las oficinas
del Prevalidador o del Aspirante, y
centro de datos relacionado con la
prestación de servicios de
Prevalidación electrónica.
R.1.c.iii
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
47
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
iv. Segregación de redes. R.1.c.iv
S. Administración de
vulnerabilidades
técnicas
1.- Documentación que
describa el procedimiento
mediante el cual el
Prevalidador o el Aspirante
gestiona las vulnerabilidades
técnicas de los activos
relacionados con la
prestación de servicios de
prevalidación electrónica, en
equipos de los empleados y
equipos de red, los cuales
deben contener:
a) Calendarización de análisis de
vulnerabilidades. S.1.a
b) Protocolo de análisis de
vulnerabilidades. S.1.b
c) Documentación de resultados de
análisis de vulnerabilidades. S.1.c
d) Clasificación de vulnerabilidades. S.1.d
e) Diseño de planes de remediación
de vulnerabilidades. S.1.e
f) Pruebas de penetración para
activos críticos. S.1.f
g) Documentación de resultados de
pruebas de penetración. S.1.g
h) Diseño de planes de remediación
de resultados de pruebas de
penetración.
S.1.h
T. Transferencia de
información
1.- Documentación que describa los controles implementados para la
protección de transferencia de información contra intercepción, copia
no autorizada, modificación, borrado, pérdida y transmisión de código
malicioso; el Prevalidador o el Aspirante, debe contar con acuerdos
firmados de transferencia de información con proveedores.
T.1
2.- Acuerdos de confidencialidad celebrados con empleados y
proveedores (se solicitará una muestra física y digital de originales
durante la verificación)
T.2
U. Seguridad en el
desarrollo y procesos
de soporte
1.- Documentación que
permita identificar controles
implementados por el
Prevalidador o Aspirante,
para servicios expuestos, la
cual debe contener:
a) Controles de seguridad contra
fraudes y exposición de información,
entre otros.
U.1.a
b) Controles para evitar transmisión
incompleta de transacciones, mal
enrutamiento, alteración de
mensajes, revelación de información,
copia no autorizada y respuestas no
autorizadas
U.1.b
2.- Política de desarrollo
seguro, la cual debe contener:
a) Definición de desarrollo seguro del
Prevalidador o del Aspirante. U.2.a
b) Marco de referencia de desarrollo
seguro, se debe incluir la referencia en
la documentación de cada desarrollo.
U.2.b
c) Directrices de seguridad para
desarrollos internos y requeridos a
proveedores.
U.2.c
d) Directrices de aceptación de
desarrollos. U.2.d
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
48
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
e) Directrices para definir la
propiedad intelectual de los
desarrollos contratados con terceros.
U.2.e
f) Restricciones de cambios en
software de propósito general
(ofimática, diseño y base de datos,
entre otros).
U.2.f
g) Entorno seguro para desarrollos
realizados por empleados. U.2.g
h) Penalizaciones por incumplimiento
de lo establecido en la política. U.2.h
i) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de
Prevalidación electrónica.
U.2.i
j) Control de versiones de la política
(fecha, participantes y control de
cambios).
U.2.j
k) Periodicidad de revisión de la
política. U.2.k
3.- Documentación que
describa la gestión de
cambios en los sistemas
relacionados con la
prestación de servicios de
prevalidación electrónica,
debe contener:
a) Protocolo de control de cambios. U.3.a
b) Formatos utilizados para el control
de cambios. U.3.b
c) Esquema de autorización de
control de cambios. U.3.c
d) Pruebas de los cambios en
ambientes de desarrollo, pruebas y
producción (operación).
U.3.d
e) Documentación de resultados de
pruebas. U.3.e
f) Pruebas después de la liberación del
cambio. U.3.f
g) Documentación de resultados de
pruebas. U.3.g
h) Registro de control de versiones de
los desarrollos. U.3.h
i) Resguardo de repositorios de
versiones de desarrollos. U.3.i
V. Seguridad de la
información en
relaciones con
proveedores y gestión
de prestación de
1.- Política de relaciones con
proveedores, la cual debe
contener:
a) Definición de relaciones con
proveedores del Prevalidador o del
Aspirante.
V.1.a
b) Directrices para definir alcance y
objetivo de los acuerdos con
proveedores.
V.1.b
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
49
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
servicios de los
proveedores
c) Directrices para definir las
condiciones de entrega de servicio de
los proveedores.
V.1.c
d) Directrices para autorizar el acceso
a la información de contribuyentes a
los proveedores.
V.1.d
e) Controles de seguridad para los
servicios. V.1.e
f) Inclusión de cláusula de auditoría
para la contratación de servicios con
proveedores.
V.1.f
g) Directrices para realizar cambios
en las condiciones de entrega de
servicios.
V.1.g
h) Penalizaciones por incumplimiento
de lo establecido en la política. V.1.h
i) Lineamientos de atención a
situaciones no contempladas en el
documento y que afecten la
prestación de servicios de
Prevalidación electrónica.
V.1.i
j) Control de versiones de la política
(fecha, participantes y control de
cambios).
V.1.j
k) Periodicidad de revisión de la
política. V.1.k
W. Administración de
incidentes de
seguridad de la
información y mejoras
1.- Documentación que
describa el protocolo de
atención a incidentes que
afecten la confidencialidad,
integridad o disponibilidad de
la información de los
contribuyentes, la cual debe
contener:
a) Roles y responsabilidades. W.1.a
b) Clasificación de incidentes. W.1.b
c) Documentación de incidentes. W.1.c
d) Recolección de evidencia del
incidente. W.1.d
e) Alimentación de base de
conocimientos. W.1.e
f) Tabla de escalamiento. W.1.f
g) Tiempos de respuesta. W.1.g
h) Directrices para remediación de
incidentes. W.1.h
X. Redundancias
1.-Documentación que describa los esquemas de alta disponibilidad
que el Prevalidador o del Aspirante, implementa para las actividades
relacionadas con la prestación de servicios de Prevalidación
electrónica.
X.1
Y. Continuidad de la
seguridad de la
información
1.- Documentación que
describa los planes de
continuidad del Prevalidador
a) Determinación de escenarios que
pongan en riesgo la continuidad del
negocio.
Y.1.a
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
50
MEDIOS DE CONTROL DE SEGURIDAD DE LA INFORMACIÓN CLAVE
o del Aspirante, la cual deben
contener: b) Roles y responsabilidades. Y.1.b
c) Protocolos de respuesta ante
ocurrencia de los escenarios descritos
en el inciso a).
Y.1.c
d) Documentación de resultados de la
ejecución. Y.1.d
e) Diseño de pruebas. Y.1.e
f) Acondicionamiento para realizar
pruebas. Y.1.f
g) Documentación de resultados de
pruebas. Y.1.g
h) Adecuaciones a los planes. Y.1.h
i) Revisión periódica de los planes Y.1.i
2. Documentación que
describa los planes de
recuperación de desastres del
Prevalidador o del Aspirante,
los cuales deben contener:
a) Determinación de escenarios que el
Prevalidador o Aspirante identifique
como desastre.
Y.2.a
b) Roles y responsabilidades. Y.2.b
c) Protocolos de respuesta ante
ocurrencia de los escenarios descritos
en el inciso a).
Y.2.c
d) Documentación de resultados de la
ejecución. Y.2.d
e) Diseño de pruebas. Y.2.e
f) Acondicionamiento para realizar
pruebas. Y.2.f
g) Documentación de resultados de
pruebas. Y.2.g
h) Adecuaciones a los planes. Y.2.h
i) Revisión periódica de los planes. Y.2.i
Z. Revisión de
seguridad de la
información
1.-Documentación en la que se defina un calendario de verificaciones
independientes de seguridad de la información. El término
independiente se refiere a que debe llevarse a cabo por personal que
no haya participado en el diseño o implementación de los controles o
que pertenezca a las áreas evaluadas, el personal puede ser interno o
externo
Z.1
2.-Procedimientos para proporcionar a los usuarios la asistencia
técnica necesaria con relación al enlace para la transmisión de
información y Prevalidación de los pedimentos.
Z.2
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
51
Anexo 5
Procedimiento para reportar al SAT incidentes que pongan en riesgo la
confidencialidad, disponibilidad e integridad de la información de los
contribuyentes de acuerdo a la clave de control de seguridad de la
información C.3
1. Pasos a seguir para contactar al SAT
El responsable del área tecnológica y/o el oficial de seguridad del prevalidador,
o a quien éste designe deberá enviar mediante correo electrónico un reporte de
la falla o incidente ocurrido, el cual deberá cumplir con lo siguiente:
a) Deberá dirigirse a la cuenta [email protected] marcando
copia al Administrador Central de Modernización Aduanera.
b)
prevalidador) /aaaa-mm-dd.
identifica al prevalidador, año, mes y día en que ocurrió la falla o incidente.
c) En el cuerpo del correo se deberá proporcionar la siguiente información:
I. Fecha del evento: aaaa-mm-dd (año-mes-día):
II. Nombre del contacto: Nombre la persona que fungirá como
contacto para el evento.
III. Correo(s) electrónico(s) Correo electrónico de la persona que
fungirá como contacto para el evento.
IV. Número(s) telefónico (s) del
contacto
Números telefónicos de la persona que
fungirá como contacto para el evento.
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
52
V. Tipo de reporte Se deberá declarar la afectación al servicio
de prevalidación y/o infraestructura del
prevalidador del incidente de información
de los contribuyentes:
a) Confidencialidad.
b) Integridad.
c) Disponibilidad.
VI. ¿El incidente tiene un impacto hacia
el SAT?
Declarar una de las siguientes opciones:
a) Sí.
b) No
VII. Indicar el estado que guarda el
reporte: En proceso
a) Resuelto
b) Erradicado
VIII. Clasificación de la falla o incidente: Indicar la clasificación de la falla o
incidente, con base al protocolo de
atención de Incidentes implementado en
su prevalidador: declarando una de las
siguientes opciones:
a) Alto
b) Medio.
c) Bajo
IX. Tiempo de respuesta para solventar
la falla/incidente:
Se deberá indicar un tiempo estimado
para que se pueda solventar la falla o
incidente.
X. Activo afectado: Se deberá indicar el activo afectado
(software, hardware, etc.) relacionado
con la falla/incidente señalando en que
Lineamientos que deben de observar quienes cuenten con la autorización para prestar los servicios de prevalidación
electrónica de datos contenidos en los pedimentos y los interesados en obtenerla.
Servicio de Administración Tributaria │ Av. Hidalgo, núm. 77, col. Guerrero, delegación Cuauhtémoc, Ciudad de
México, c. p. 06300 │ Tel. MarcaSAT: 01 55 627 22 728│ documento disponible en www.sat.gob.mx
53
parte del proceso de prevalidación se
presentó.
XI. Descripción detallada de la falla o
incidente:
Hacer una descripción detallada de la falla
o incidente.
XII. Si la falla/incidente no se ha
resuelto, indique el porqué de su
estado:
XIII. Si la falla/incidente no se ha
resuelto, documente las actividades
a seguir para su atención.
2. Seguimiento al Reporte
Si al momento de la notificación al SAT la falla o incidente reportado no ha sido resuelto, el
prevalidador estará obligado a notificar al SAT en alcance al reporte inicial cuando éste sea
solventado, actualizando el formato enviado por correo.