| ATRIBUTOS | TIPO | LONGITUD | DESCRIPCIÓN |
| commonName (CN) | PrintableString o UTF8String | 64 | Nombre de la AC |
| organizationName (O) | PrintableString o UTF8String | 64 | Nombre de la organización o razón social |
| organizationalUnitName (OU) | PrintableString o UTF8String | 64 | Nombre de la unidad dentro de la organización |
| EmailAddress (E) | IA5String | 128 | Correo electrónico de la organización |
| StreetAddress | PrintableString o UTF8String | 128 | Calle, número y colonia de la organización |
| PostalCode | PrintableString o UTF8String | 40 | Código postal de la organización |
| CountryName (C) | PrintableString | 2 | País |
| State (S) | PrintableString o UTF8String | 128 | Entidad federativa |
| LocalityName (L) | PrintableString o UTF8String | 128 | Municipio o delegación |
| ATRIBUTOS | TIPO | LONGITUD | DESCRIPCIÓN |
| commonName (CN) | UTF8String | 64 | Nombre del titular del certificado digital |
| serialNumber (SN) | PrintableString | 64 | CURP del titular del certificado digital |
| CountryName (C) | PrintableString | 2 | País |
| X500uniqueIdentifier (2.5.4.45) | BIT STRING | | Opcional Registro Federal de Contribuyentes del titular del certificado digital |
| EmailAddress (E) | IA5String | 128 | Correo electrónico del titular del certificado digital |
| ATRIBUTOS | TIPO | DESCRIPCIÓN | ||
| authorityKeyIdentifier | No crítica | Permite identificar la clave pública correspondiente a la clave privada que la AC utilizó para firmar el certificado digital. Usar sólo el campo KeyIdentifier, el cual debe contener los 256 bits del SHA-2 del valor subjectPublicKey del certificado digital de la AC. | ||
| subjectKeyIdentifier | No crítica | Asigna un identificador de la clave pública del titular del certificado digital. Debe contener los 256 bits del SHA-2 del valor subjectPublicKey. | ||
| keyUsage | Crítica | Usos del certificado digital | ||
| | | Bit | AC | Titular |
| | | DigitalSignature nonrepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly | S S N S S S S N N | S S N S S N N N N |
| basicConstraints | Crítica | Identifica si el titular del certificado digital es una AC. | ||
| extendedKeyUsage | No crítica | Indica uno o más propósitos de uso. | ||
| cRLDistributionPoint | No crítica | Indica cómo puede ser obtenida la Lista de Certificados Revocados. | ||
| authorityInfoAccess | No crítica | Indica cómo acceder a la información de la AC y sus servicios, aquí debe indicarse como mínimo la dirección electrónica de consulta de la AC. | ||
| certificatePolicies | Crítica | OID asignado por la Secretaría, quien deberá llevar un registro de los mismos. | ||

| DETALLE DE LA ACTIVIDAD | Generación de la llave privada [*.key] y archivo de requerimiento [*.req] para la Firma Electrónica Avanzada |
| Puesto / Rol Responsable | Tarea | Descripción de la tarea | Documentos involucrados | ||
| Usuario | | 1. | Accede a la página de la AC en Internet en la sección de Firma Electrónica Avanzada y procede a bajar la aplicación para generar el requerimiento [*.req] y la llave privada [*.key] en su equipo de cómputo. | | |
| | | 2. | Instala en su PC la aplicación que genera el *.req y *.key. | | |
| | | 3. | Ejecuta la aplicación de generación de archivos antes mencionados, y llena los datos requeridos, conforme es instruido en el aplicativo. | | |
| | | 4. | Respalda en una unidad de memoria extraíble USB o disco compacto [CD] el archivo *.req y lo integra a la documentación que presentará en la AC. | | |
| | | 5. | Acude a la AC presentando los documentos requeridos al Agente Certificador para realizar el trámite de emisión de Certificado Digital de Firma Electrónica Avanzada. Requisitos Ä Identificación oficial. Ä Acta de nacimiento. Ä Solicitud de Certificado de Firma Electrónica Avanzada, firmada de forma autógrafa. Ä Archivo de requerimiento [USB o CD]. | | |
| Agente Certificador | | 6. | Verifica que la documentación presentada esté completa y determina. Sí está la documentación completa Continúa en la DT 8. No está la documentación completa Continúa en la DT 7. | | |
| | | 7. | Informa al Usuario de los faltantes. Devuelve documentación indicando que deberá hacer una nueva cita y traer los documentos que falten. Concluye procedimiento | |
| | | 8. | Procede a validar la información de la documentación presentada que acredita la identidad del solicitante. Si la información es consistente continúa en la DT10. En caso de identificar inconsistencias, continua en la DT9. | |
| | | 9. | Informa al solicitante que no es posible llevar a cabo el trámite, por lo que será necesario que corrija las inconsistencias reportadas. Concluye el procedimiento. | |
| | | 10. | Digitaliza la documentación con la que acredita la identidad del solicitante y la integra en un expediente electrónico. | |
| | | 11. | Canaliza al área de toma de biométricos. | |
| | | 12. | Realiza la toma de biométricos, los valida y en su caso los registra conforme al Procedimiento Técnico de Captura de Información y el Procedimiento Técnico de Intercambio de Información. | |
| | | 13. | Registra los biométricos en el sistema y se procede a generar el Certificado Digital de Firma Electrónica Avanzada. | |
| | | 14. | Se solicita al usuario registrar en el sistema su clave privada a fin de generar el Certificado Digital de Firma Electrónica Avanzada y el archivo llave. | |
| | | 15. | Se emite el "Comprobante de Inscripción para la Firma Electrónica Avanzada" para que lo firme de forma autógrafa el solicitante. | |
| Usuario | | 16. | Recibe y procede a firmar de recibido en los dos tantos del "Comprobante de Inscripción para la Firma Electrónica Avanzada" y devuelve. | |
| Agente Certificador | | 17. | La AC recibe y acusa de recibo con sello en los dos tantos del formato de "Solicitud de Certificado de Firma Electrónica Avanzada". La AC entrega un tanto de este al Usuario junto con un tanto del "Comprobante de Inscripción para la Firma Electrónica Avanzada", los originales de su documentación y el dispositivo externo con su archivo *.cer. | |
| | | 18. | Anexa la documentación al o expediente del Usuario la nueva documentación recibida. Fin del Procedimiento | |


| DETALLE DE LA ACTIVIDAD | Revocación de Certificados Digitales de Firma Electrónica Avanzada | |
| Puesto / Rol Responsable | Tarea | Descripción de la tarea | Documentos involucrados | ||
| | | | | | |
| Usuario | | 1. | Acude a la oficina de la AC a presentar escrito de solicitud de revocación de certificados. | Escrito libre | |
| Agente Certificador | | 2. | Verifica que se presente la siguiente documentación: ± Escrito libre con la solicitud de revocación. ± Original o copia certificada de la identificación oficial del solicitante. | Escrito libre Identificación oficial del solicitante | |
| Agente Certificador | | 3. | Acredita la identidad del solicitante a través de la validación de las huellas dactilares. | | |
| | | 4. | Accede al sistema de revocación provisto por la AC, captura número de serie del certificado a revocar y RFC y procede a revocar. | | |
| | | 5. | Imprime comprobante y entrega al Solicitante los dos tantos y solicita firme acuse de recibo. | Comprobante de revocación de certificado | |
| Usuario | | 6. | Recibe, firma acuse de recibo y devuelve. | Comprobante de revocación de certificado | |
| Agente Certificador | | 7. | Entrega al solicitante copia del escrito libre, el comprobante de revocación de certificado junto con el original de la identificación oficial. | Escrito libre Identificación oficial Comprobante de revocación de certificado | |
| | | 8. | Digitaliza la información correspondiente a la revocación y la integra al expediente electrónico del solicitante. | | |
| | | 9. | Integra al original del escrito libre el comprobante de revocación e integra al expediente físico. Fin del Procedimiento | | |

| DETALLE DE LA ACTIVIDAD | Renovación de Certificados Digitales de Firma electrónica Avanzada vía AC |
| Puesto / Rol Responsable | Tarea | Descripción de la tarea | Documentos involucrados | ||
| Usuario | | | | | |
| | | 1. | Acude a la AC presentando los documentos requeridos para realizar el trámite de renovación del Certificado Digital de Firma Electrónica Avanzada. Requisitos de renovación: Ä Original o copia certificada de la identificación oficial del solicitante. Ä Archivo de requerimiento (dispositivo o mecanismo de almacenamiento). Ä Correo electrónico. | Identificación oficial Archivo *.req | |
| Agente Certificador | | | | |
| | | 2. | Verifica que la documentación esté correcta. | |
| | | 3. | Corrobora con el solicitante los datos de: RFC, CURP, nombre y domicilio desplegados en pantalla, también verifica que el apartado <Biométricos> señale la opción <Sí>. | |
| | | 4. | Acredita la identidad del solicitante, a través de la validación de las huellas dactilares. | |
| | | | | |
| | | 5. | Genera e imprime en dos tantos la "solicitud de renovación" y recaba firma del solicitante. | Solicitud de renovación |
| | | 6. | Genera y almacena el Certificado Digital de Firma Electrónica Avanzada en el dispositivo o mecanismo de almacenamiento. | |
| | | 7. | Imprime en dos tantos el Comprobante de Inscripción para la Firma Electrónica Avanzada y recaba firma del solicitante. Extrae dispositivo o mecanismo de almacenamiento. | Comprobante de Inscripción para la Firma Electrónica Avanzada |
| Usuario | | 8. | Recibe y firma de recibido en los dos tantos de la "Solicitud de renovación" y del Comprobante de Inscripción para la Firma Electrónica Avanzada' y devuelve. | Comprobante de Inscripción para la Firma Electrónica Avanzada |
| Agente Certificador | | 9. | Recibe y acusa de recibo con sello de la AC en los dos tantos del formato de Solicitud de renovación, entrega un tanto de éste al solicitante junto con un tanto del Comprobante de Inscripción para la Firma Electrónica Avanzada' y los originales de su documentación y su dispositivo o mecanismo de almacenamiento con su Certificado Digital de Firma Electrónica Avanzada. | Comprobante de Inscripción |
| | | 10. | Anexa la documentación digitalizada al expediente electrónico e integra lo correspondiente al expediente físico del solicitante la nueva documentación recibida. Fin del Procedimiento | |


| Matriz de Controles para la Revisión de Seguridad para AC | ||||||
| Nota: La presente matriz estará vigente a partir de XXXXXX | ||||||
| Área de Control | Sub-área de Control | ID Control | Control | Interpretación del Control | Periodicidad / Parámetro Requerido | Entrega esperada |
| Área de control: Postura de la Autoridad Certificadora sobre la Seguridad de la Información | | |||||
| | Entendimiento del negocio | 1 | Contexto del negocio en donde éste pretende alcanzar sus objetivos. | Parámetros internos y externos del ambiente AC, establecer el alcance y criterios de riesgos. Se espera un documento donde se identifique el contexto donde la AC se va a desenvolver, los factores que pueden afectar, los riesgos, factores de cambio. | Al inicio de solicitud. | Documento con la descripción del contexto de negocio. |
| 2 | Requerimientos de negocio de los distintos participantes (internos y externos) | Requerimientos de negocio de los distintos participantes involucrados en el proceso de prestación de servicios. Ej. Gobierno, INAI Solicitante, Negocio. Se espera un documento en donde se especifique qué requerimientos existen para que el negocio pueda operar. | Al inicio de solicitud. | Documento y mapa de requerimientos. | ||
| 3 | Definir alcance de los objetivos y procesos de negocio. | 1. Proceso documentado del negocio. 2. Alcance detallado del proceso. 3. Objetivos, indicadores claves de cumplimiento y métricas. 4. Entradas y salidas del proceso. (Diagrama) 5. Roles, responsabilidades y competencias del personal que interviene en el proceso. 6. Recursos que intervienen en la ejecución del proceso. (organigrama) 7. Tareas que se ejecutan en el proceso. 8. Indicadores y métricas que demuestren que el proceso se realiza de forma eficiente. 9. Estándares, normas o buenas prácticas a las que está alineado el proceso. 10. Monitoreo y evaluación del proceso. | Al inicio de solicitud, posteriormente actualizaciones cada que existan cambios en los procesos. Deben cumplir con COBIT, TOGAF o equivalente. | * Documento con el proceso de negocio. * Documento con objetivos, indicadores claves de cumplimiento y métricas. * Documento con Entradas y salidas del proceso. * Estándares, normas o buenas prácticas a las que está alineado el proceso. * Monitoreo y evaluación del proceso. |
| | Liderazgo de la Alta Dirección | 4 | Liderazgo y compromiso | 1. Se deben tener objetivos y una política de seguridad de la información de alto nivel compatible con la estrategia de negocio corporativa dentro del alcance de los servicios del negocio. 2. Asegurar que los requerimientos de la seguridad de la información están integrados a los procesos organizacionales relacionados con los servicios del negocio. 3. Asegurar que se proporcionen los recursos requeridos para mantener la seguridad de la información del negocio. 4. Comunicar en forma efectiva la importancia de mantener los niveles adecuados de seguridad de información y se conforme con todo lo solicitado por la Secretaría, con el apoyo técnico de la Secretaría de Economía y el Servicio de Administración Tributaria, en este rubro. 5. Asegurar que los requerimientos de seguridad de la información alcancen sus objetivos. 6. Dirigir y liderar los roles gerenciales para contribuir a la efectividad en el cumplimiento de los requerimientos de seguridad y la mejora continua de su gestión. | Al inicio de solicitud, posteriormente actualizaciones cada que existan cambios en las directivas y políticas de seguridad. Deben cumplir con ISO27000, Risk IT o equivalente. | * Documento con la incorporación de la estrategia de seguridad en la del negocio. * Documento con los recursos asignados. * Documento con el programa de seguridad de la información. * Documento de reporte de asignación y supervisión de avance del programa de seguridad de la información. |
| 5 | Política de seguridad de la información | La AC debe contar con un documento de Política de Seguridad de la Información autorizado, el cual debe estar publicado y disponible para el personal interno y terceros que colaboren con la AC. | Al inicio de solicitud, posteriormente actualizaciones cada que existan cambios en las directivas y políticas de seguridad. Deben cumplir con ISO27000, Risk IT o equivalente. | Debe de implementar un Sistema de Gestión de Seguridad de la Información (SGSI), protocolizado de conformidad a ISO27000 por lo menos. |
| 6 | Políticas específicas de seguridad de la información | 1. Política de seguridad de la información. - Contiene los lineamientos generales de las políticas de información. 2. Política de la organización de la seguridad de la información. Contiene los lineamientos bajo los cuales se rige la seguridad de la información. 3. Política para seguridad de los recursos humanos. - Políticas relacionadas a la administración del recurso humano. 4. Política de gestión de activos. - Políticas que definirán el proceso con lo cual se gestionarán los activos. 5. Política de control de accesos. - Política que detalla el acceso a las diferentes instalaciones. | Al inicio de solicitud, posteriormente actualizaciones cada que existan cambios en las directivas y políticas de seguridad. Deben cumplir con ISO27000, Risk IT o equivalente. *Las políticas deberán ser revisadas por lo menos una vez al año. | Políticas alineadas a mejores prácticas. La Autoridad Certificadora debe contar con un documento de Política de Seguridad de la Información autorizado, debe estar publicada y disponible para el personal interno y terceros que colaboren con la empresa. Debe de implementar un Sistema de Gestión de Seguridad de la Información (SGSI), protocolizado de conformidad a ISO27000 por lo menos. |
| | | | | 6. Política de criptografía. - Política de uso de criptografía en aplicaciones y servicios. 7. Política de seguridad física y ambiental. - Políticas que rigen la seguridad física y ambiental de las distintas instalaciones. 8. Política de seguridad en las operaciones. - Políticas con las consideraciones de seguridad para las operaciones diarias. 9. Política de seguridad en las comunicaciones. - Políticas que rigen las comunicaciones para los activos que participan en el proceso. 10. Política para la adquisición, desarrollo y mantenimiento de sistemas. Las políticas que tienen impacto en la operación, los nuevos sistemas y su impacto en los mismos. 11. Política de relaciones con los proveedores. Las políticas que rigen el trato con los proveedores así como las implicaciones de seguridad que se deben considerar. 12. Política para la gestión de incidentes de seguridad de la información Política que regirá la gestión del incidente, desde que se presenta el mismo. 13. Política para la gestión de los aspectos de seguridad de la información en la continuidad de negocio. Política con las consideraciones que se tomarán para el desarrollo del plan de continuidad del negocio (por sus siglas en inglés BCP, Bussiness Continuity Plan). 14. Política para el cumplimiento. - Reglas que se van a tomar en cuenta para el seguimiento y cumplimiento de las normativas de la AC. '15. Política de uso de contraseñas. La AC debe contar con una política de uso de contraseñas, donde se especifique la responsabilidad de los usuarios en el uso de las mismas, caducidad y | | |
| La AC debe contar con una política de uso de contraseñas, donde se especifique la responsabilidad de los usuarios en el uso de las mismas, caducidad y protección de las mismas. |
| | | | | 16. Política de equipo desatendido. La AC debe contar con una política de equipo desatendido, donde se especifiquen los requerimientos de seguridad para el equipo cuando el usuario no está presente. 17. Política de escritorio limpio. La AC debe contar con una política de Escritorio limpio, donde se especifiquen los requerimientos de seguridad para los puestos de trabajo. 18. Política de control de accesos. La AC debe tener una política y procedimientos formales de Control de Accesos que apliquen por lo menos a todos los activos que dan soporte al proceso de la AC, mismos que deben ser revisados y actualizados por lo menos cada 6 meses. | | |
| | Estructura organizacional | 7 | Roles, responsabilidades y autoridad con respecto a la seguridad de la información. | Se debe de tener una carta responsiva firmada específica para el rol y responsabilidades de cada elemento que va a participar en la prestación del servicio. Debe de considerar por lo menos tipo de documento, área, fecha, nombre, puesto, descripción, texto que identifique a qué información accede, responsabilidades y obligaciones, marco de referencia normativo (interno y externo), firma y fecha de aceptación y conformidad. | Deben cumplir con ISO27000, Risk IT o equivalente. | * Documentos con las cartas responsivas de los participantes. * Organigrama * Roles dentro del organigrama. |
| 8 | Marco de trabajo seleccionado para la gestión de riesgos de seguridad de la información. | Gestión de administración del riesgo: 1.-Diseño o elección del marco de trabajo para administrar el riesgo. 2.-Implementar la administración de riesgos. 3.-Monitorear y revisar el marco de trabajo. 4.-Mejora continua del marco de trabajo. Lo anterior es enunciativo mas no limitativo. | Deben cumplir con ISO27000, Risk IT o equivalente. | Documento con el marco de trabajo. |
| | Gestión de riesgos | 9 | Metodología para la gestión de riesgos | 1. Nivel de riesgo aceptable. 2. Proceso de valoración de riesgos: 2.1 Identificación de riesgos. 2.2 Análisis de riesgos. 2.3 Evaluación de riesgos. 3. Proceso de tratamiento de riesgo: 3.1 Selección de tipo de tratamiento con justificación. 3.2 Declaración de aplicabilidad de los controles de seguridad de la información. 3.2.1 Determinar la aplicación o no de los controles así como las razones para su aplicación o no aplicación. 3.2.2 Determinar si el control está operando así como su efectividad. En caso contrario, mostrar su plan de despliegue correspondiente. 3.3 Plan de implementación de controles. | Deben cumplir con ISO27000, Risk IT o equivalente. | Documento con la metodología a seguir. |
| 10 | Ejecución de los procesos de gestión de riesgos. | 1. Valoración del cálculo del nivel del riesgo. 2. Trazabilidad de la gestión del riesgo. | Deben cumplir con ISO27000, Risk IT o equivalente. | Documento con los resultados de la gestión de riesgo. |
| | Objetivos y competencias | 11 | Objetivos de seguridad de la información | 1. Deben estar alineados con la política de TIC. 2. Deben de ser medibles. 3. Deben de tomar en cuenta los requerimientos de seguridad de la información, resultados de análisis de riesgos propios y tratamientos de los riesgos. 4. Deben de estar comunicados en la AC. 5. Deben de estar actualizados. 6. Deben incluir un Plan de trabajo para su cumplimiento 6.1 ¿Qué es lo que se va a hacer? 6.2 ¿Qué recursos son requeridos? 6.3 ¿Quién va a ser responsable? 6.4 ¿Cuándo se va a completar? 6.5 ¿Cómo se van a evaluar los resultados? Los numerales son enunciativos mas no limitativos. | Deben cumplir con ISO27000, Risk IT o equivalente. | Documento y plan de trabajo con los objetivos de la seguridad de la información. |
| | | 12 | Competencias | 1. Las personas que participan en los servicios del negocio o son encargados de la seguridad de la información deberán tener la competencia requerida para desempeñar sus funciones. (Con base a su experiencia, educación y/ o entrenamiento adecuado) 2. Plan de capacitación o entrenamiento para alcanzar o retener las competencias requeridas para desempeñar las funciones. | Deben cumplir con ISO27000, Risk IT o equivalente. Presentar currículos acompañados de las certificaciones respaldo de las competencias en Seguridad de la Información. | Documento con las competencias por rol y plan de capacitación. |
| | Comunicación | 13 | Gestión de comunicación de seguridad de la información con entidades internas y externas. | La AC debe de determinar las necesidades de comunicación interna y externa relevante para la administración del sistema de seguridad de la información en la cual se debe de incluir lo siguiente: 1. ¿Qué es lo que se debe de comunicar? 2. ¿Cuándo se debe de comunicar? 3. ¿A quién se le debe de comunicar? 4. ¿Quién lo debe de comunicar? 5. Los procesos que pueden ser afectados por la comunicación. | Deben cumplir con ISO27000, Risk IT o equivalente. | Documento que detalle la gestión de comunicación. |
| | | 14 | Concientización | El personal que este participando debe de tener conocimiento de: 1. La política de seguridad de la información. 2. Su participación para la efectividad de la seguridad de la información y sus beneficios. 3. Las implicaciones de no cumplir con los requerimientos de la seguridad de la información. 4. Las sanciones internas a las que se harían acreedores en caso de no cumplir con alguna de las políticas de seguridad de la información. Los puntos son enunciativos mas no limitativos. | Deben cumplir con ISO27000, Risk IT o equivalente. | Plan de concientización. Listados de asistencia con fecha y firma. |
| Área de control: Operación de la Seguridad de la Información en la AC | ||||||
| | Operación de la seguridad | 15 | Operación | Planear, implementar y controlar los requerimientos y objetivos de seguridad de información. Debe de considerar el control de cambios, así como plan de acción para mitigar cualquier efecto adverso. | Deben cumplir con ISO27000, 31000, Risk IT o equivalente. | Plan operativo de seguridad de la información, controles de cambio, controles de seguridad de la información. |
| Área de control: Evaluación del rendimiento de la Seguridad de la Información en la AC |
| | Monitoreo y auditoría | 16 | Monitoreo, medición, análisis y evaluación. | La AC deberá evaluar si el desempeño y efectividad de su servicio y la seguridad se encuentran acorde a sus políticas y procesos: 1. Determinar qué se debe de monitorear y medir. 2. Determinar qué métodos se van a utilizar para monitorear, medir, analizar y evaluar. 3. Determinar cuándo se deben de monitorear y medir. 4. Determinar quién debe de monitorear y medir. 5. Determinar cuándo se revisarán los resultados de monitoreo. 6. Quién deberá realizar el análisis y evaluación de estos resultados. 7. Quién detonará y dará seguimiento a las acciones correctivas. * Se debe de considerar el servicio ofrecido al solicitante y su operación interna. | Deben cumplir con ISO27000, Risk IT o equivalente. | Documento de gestión de monitoreo, reportes de operación y atención a desviaciones. |
| 17 | Auditorías realizadas mediante personal autorizado y seguimiento | La AC debe realizar auditorías internas por personal interno o externo con las credenciales adecuadas para la revisión de los controles, los auditores deberán tener independencia operativa. La auditoría evaluará el cumplimiento de los objetivos o requerimientos de seguridad de la información que se hayan trazado, lo efectivo y eficaz que hayan implementado los controles de seguridad de la información para gestionar los riesgos. Se deberá revisar el cumplimiento de la matriz presente. Se deberá planear, establecer e implementar un plan de auditoría, que incluya frecuencia, seguimiento del resultado de las auditorías y responsable de las actividades. | 1 vez al año como mínimo. | Reporte de auditoría. |
| | Clasificación de la Información | 18 | Acuerdos de Confidencialidad | La AC debe tener acuerdos de confidencialidad y/o acuerdos de no divulgación de información, firmados con su personal interno y externo, y deben ser revisados de manera periódica. Es importante que la responsabilidad del personal que firma se encuentre vigente durante el desempeño de sus actividades, en caso de que deje de laborar en la empresa considerar un periodo posterior en el cual tenga efecto. | Deben cumplir con ISO27000, Risk IT o equivalente. | * Acuerdos de confidencialidad. * Acuerdos de no divulgación. |
| 19 | Contacto con las Autoridades | La AC debe contar con procedimientos formales para mantener contacto y permitir investigaciones por parte de las autoridades. Ej. Protección civil, el SAT, seguridad pública. | Cumplir con el proceso ASI del MAAGTICSI. | Documento con información como Nombres, teléfonos, correos electrónicos, teléfonos de emergencia de las autoridades relevantes. | ||
| 20 | Contacto con Grupos de Interés Especial | La AC debe estar en contacto con grupos especializados en seguridad y/o asociaciones profesionales. | Cumplir con el proceso ASI del MAAGTICSI. | Certificaciones, constancias de asistencia a cursos de seguridad, subscripciones con autoridades en seguridad como en NIST, SANS, ENISA, ISO, CERT´s, etc. |
| 21 | Política de Clasificación de la Información | La AC debe contar con una política y procedimientos formales para la clasificación de la información de acuerdo a su relevancia o sensibilidad. | Como mínimo se deberá considerar lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y el artículo 69 del Código Fiscal de la Federación. | Política con clasificación de la información en: pública, reservada y confidencial. | ||
| 22 | Etiquetado y Manejo de la Información | La AC debe contar con procedimientos formales para etiquetar y manejar la información tanto en formato electrónico como en formatos físicos de acuerdo a su clasificación. | Debe cumplir con ITIL. | Política de etiquetado, manejo y resguardo de la información de acuerdo a su clasificación. | ||
| Seguridad en el Personal | ||||||
| | Personal Interno | 23 | Selección del Personal | Se debe llevar a cabo la verificación de antecedentes de todos los candidatos a puestos internos de la AC. | Cada que se contrata personal nuevo. | Cartas de antecedentes no penales de los empleados. Certificaciones correspondientes al perfil y rol del puesto. El personal deberá aprobar un examen de control de confianza, para todas las áreas: administrativas, técnicas y operativas, debiendo realizarlo al menos cada 2 años. |
| | Terminación del Empleo | 24 | Eliminación de Derechos de Acceso | La AC debe contar con procedimientos para llevar a cabo la eliminación de accesos lógicos y físicos al personal interno o externo que ya no labore en la empresa. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Política y procedimientos para la eliminación de accesos lógicos y físicos al personal interno o externo que ya no labore en la empresa. |
| 25 | Devolución de Activos | La AC debe contar con un procedimiento para la devolución de los activos que el personal tuvo asignado mientras laboraba para la AC. Proceso de sanitización de la información en los equipos. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Política y procedimientos para la devolución de activos. | ||
| 26 | Responsabilidades del personal dado de baja | Se deben revisar los contratos, cláusulas y acuerdos de confidencialidad para garantizar que el personal dado de baja conserva sus obligaciones con respecto a la confidencialidad de la información a la que tuvo acceso durante su estancia en la AC. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Contrato laboral y acuerdos de confidencialidad. | ||
| Gestión de los Activos | ||||||
| | Gestión de los Activos | 27 | Inventario de Activos | Todos los activos deben estar claramente identificados. Se debe elaborar y mantener un inventario actualizado de todos los activos de la AC. | Debe cumplir con ITIL. | * Políticas y procedimientos de gestión de activos. *CMDB. * Inventario de Activos. |
| 28 | Propiedad de los activos | Toda la información y los activos asociados con los medios de procesamiento de la información deben ser propiedad' (responsabilidad) de una parte designada de la AC. | Debe cumplir con ITIL. | Políticas y procedimientos de manejo de activos. | ||
| 29 | Uso aceptable de activos | La AC debe contar con una política y procedimientos para identificar, documentar e implementar las reglas para el uso aceptable de la información y los activos asociados. | Debe cumplir con ITIL. | Políticas y procedimientos de manejo de activos. | ||
| Seguridad Física en Oficinas | ||||||
| | Seguridad Física | 30 | Perímetro de Seguridad Física | Se deben utilizar perímetros de seguridad (barreras tales como paredes y puertas de ingreso controlado, policías o recepcionistas) para proteger áreas operativas y de oficina que contienen información de la AC. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | * CCTV. * Custodia de las oficinas. * Bitácora de acceso. |
| 31 | Controles de Entrada | Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se permita acceso al personal autorizado. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Política y bitácoras de acceso a las instalaciones. | ||
| Procesos de Gestión de la Seguridad | ||||||
| | Manejo de Incidentes y Problemas | 32 | Incidentes y Problemas | La AC debe contar con una política y procedimientos para la Gestión de Incidentes de Seguridad, que maneje como mínimo: - Identificación de Incidentes y Problemas. - Registro de Incidentes y Problemas (indicando tipo, clasificación, diagnóstico). - Notificación y Escalamiento de Incidentes y Problemas. - Seguimiento y solución de Incidentes y Problemas. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | * Proceso de gestión de incidentes. * Matriz de escalamiento de incidentes y problemas. * SLA vigentes. * Incidentes de seguridad, su clasificación, seguimiento, responsables y fechas compromiso de solución. |
| 33 | Notificación a la Secretaría, o en su caso, a la SE o al SAT | La AC debe contar con procedimientos de notificación a la Secretaría, o en su caso, a la SE o al SAT, en caso de Incidentes o problemas que puedan comprometer la información de los ciudadanos. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | * Procedimientos de notificación en caso de Incidentes. * Matriz de escalamiento de incidentes. * Directorio telefónico de contactos de la AC. * Directorio telefónico de contactos. | |
| Monitoreo de Seguridad | 34 | Definición de Eventos de Seguridad | La AC debe definir aquellos eventos de seguridad que van a monitorear, de acuerdo a su análisis de riesgos, en los cuales deben considerar como mínimo: - Uso de cuentas privilegiadas. - Acceso a información con clasificación alta de confidencialidad. - Comportamiento anormal de los equipos. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | * Proceso de respuesta a incidentes donde exista una definición clara de lo que es un incidente de seguridad y cómo se debe de tratar y escalar. * Matriz de escalamiento. |
| BCP | 35 | Plan de Continuidad del Negocio | La AC debe contar con un BCP documentado y aprobado. El BCP debe incluir el proceso de AC, incluyendo como mínimo: Identificación de los activos que le dan soporte al proceso. Requerimientos de procesamiento, personal, información y todo lo necesario para garantizar la continuidad del servicio de la AC. | Deben cumplir con ISO27031 e ISO22301. | BCP derivado de un BIA. |
| 36 | Pruebas de BCP | La AC debe contar con un plan de ejecución de pruebas del BCP por lo menos cada 12 meses. | 12 meses. | Reporte anual de los resultados de las pruebas al BCP. |
| | Gestión de la Capacidad | 37 | Capacidad Tecnológica | Se debe planear, monitorear, y ajustar el uso de recursos tecnológicos (software, equipos, comunicaciones, etc.) para asegurar el desempeño requerido por los sistemas que dan soporte al proceso de AC, por lo menos durante 12 meses. Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeación y monitoreo. | 12 meses. | Plan anualizado de gestión de la capacidad tecnológica. |
| 38 | Capacidad Operativa | Se debe planear, monitorear, y ajustar el uso de recursos operativos (personal, herramientas, espacios) para asegurar el desempeño requerido por los sistemas que dan soporte al proceso de AC, por lo menos durante 12 meses. Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeación y monitoreo. | 12 meses. | Plan anualizado de gestión de la capacidad operativa. | ||
| Seguridad de la Plataforma Tecnológica | ||||||
| | DRP | 39 | Plan de Recuperación de Desastres | La AC debe contar con un plan de recuperación de desastres para su centro de datos que incluya por lo menos los activos necesarios para el funcionamiento del proceso de AC. | 12 meses, cumpliendo con ISO24762. | DRP derivado de un BIA. |
| 40 | Pruebas del DRP | La empresa debe contar con un plan de pruebas del DRP. | Anual, cumpliendo con ISO24762. | Reporte anual de los resultados de las pruebas al DRP. | ||
| Manejo de Certificados | 41 | Manejo de Certificados | La AC debe de contar con un proceso formal de manejo de certificados que cubra como mínimo los siguiente puntos: 1.- Proceso de identificación y autenticación de la entidad solicitante del servicio de certificación PKI. 2.- Proceso de Registro y enrolamiento. 3.- Proceso de Generación (definición técnica de algoritmos y tamaño de las llaves acorde al marco regulatorio). 4.- Proceso de Emisión y entrega del documento digital. 5.- Proceso de Publicación de los documentos digitales. 6.- Proceso de Renovación de los documentos digitales. 7.- Proceso de Suspensión de los documentos digitales. 8.- Proceso de Revocación de los documentos digitales. 9.- Proceso de Archivado y resguardo de los documentos digitales conforme a la norma NOM- 151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos, o aquella que le sustituya. | | | |
| | Resguardo de Llaves digitales | 42 | Resguardo de Llaves digitales | La AC debe de contar con un equipo específico con características de certificación FIPS_140-3 y documentación en donde se detalle la ejecución de al menos los siguientes procesos de seguridad: 1.- Proceso inicio seguro y configuración inicial. 2.- Proceso de definición y configuración de dominios de seguridad. 3.- Proceso de inicialización de llave privada y generación del archivo *.req. 4.- Proceso de configuración de web service y/o integración del API del fabricante. 5.- Proceso de Respaldo del equipo. 6.- Proceso de configuración de alta disponibilidad del equipo. 7.- Proceso de Cambio de Llaves de acceso al equipo. 8.- Proceso de Destrucción de llaves del equipo. 9.- Proceso de revocación de llaves comprometidas. | | |
| Manejo de Llaves | 43 | Manejo de Llaves | La AC debe de contar con un proceso formal de manejo de certificados que cubra lo siguiente: 1.- Proceso de Distribución. 2.- Proceso de Almacenamiento. 3.- Proceso de Uso. 4.- Proceso de Respaldo. 5.- Proceso de Cambio de Llaves. 6.- Proceso de Destrucción. 7.- Proceso de Llaves Comprometidas. | | | |
| Protocolo de verificación de estatus del certificado en línea (OCSP, por sus siglas en inglés, Online Certificate Status Protocol) | 44 | Servicio de OCSP | La AC deberá de implementar el servicio de OCSP público para validación del estado de los Certificados Digitales de Firma Electrónica Avanzada. | Debe cumplir RFC 6960. | Disponibilidad del servicio 99.999% |
| Lista de certificados revocados (CRL, por sus siglas en inglés, Certificate Revocation List) | 45 | Servicio de CRL | La AC deberá de implementar el servicio de CRL público para validación de certificados revocados de firma electrónica avanzada | Debe cumplir RFC 5280. | Disponibilidad del servicio 99.999%, actualizado cada 12 horas al menos. |
| | Gestión de cuentas | 46 | Altas, Bajas y Cambios de Accesos de Usuarios | La AC debe documentar procedimientos formales para las Altas, Bajas y Cambios de accesos de usuarios, que incluyan como mínimo: - Bloqueo de las cuentas por intentos fallidos de autenticación. - Bloqueo de cuentas por periodo de inactividad. Los accesos remotos sólo se deberán proporcionar bajo circunstancias de excepción y con un estricto proceso de autorizaciones y monitoreo. | Deben cumplir con ISO27000 e ITIL o equivalente. | Procedimiento de gestión de cuentas. |
| 47 | Gestión de Privilegios | La AC debe contar con procedimientos formales para restringir y controlar la asignación y uso de los privilegios. Debe existir un catálogo con la descripción de privilegios y la asignación de los mismos. | Deben cumplir con ISO27000 e ITIL o equivalente. | Procedimiento de gestión de cuentas con privilegios. | ||
| 48 | Gestión de Contraseñas de Usuarios | La AC debe contar con procedimientos formales de asignación de contraseñas, mismos que deben contar por lo menos con las siguientes reglas: - Reglas para la creación de contraseñas (longitud mínima, histórico, caracteres permitidos, etc.). - Las contraseñas se deben encriptar en todos los activos que dan soporte al proceso de AC. | Deben cumplir con ISO27000 e ITIL o equivalente. | Política de gestión y cifrado de contraseñas. | ||
| 49 | Revisión de Permisos | La AC debe realizar periódicamente (por lo menos cada 6 meses) una revisión de los usuarios existentes en los sistemas de información y activos, para verificar que sus permisos sigan siendo vigentes de acuerdo al procedimiento de altas o cambios de Accesos de Usuarios. | 6 meses. | Procedimiento de altas o cambios de accesos de usuarios. |
| Seguridad Física | 50 | Ubicación del Centro de Datos | El centro de datos debe estar asentado en lugares libres de altos riesgos, por lo menos a 100 m de lugares como gasolineras, gaseras, minas, acometidas de cableado de electricidad y gas, etc. y deberá estar dispuesta como una instalación no evidente. | 100 m | Plano de ubicación del centro de datos y sus colindancias. |
| | | 51 | Control de Accesos Físicos | El centro de datos debe estar protegido por un perímetro de acceso físico controlado, controles de acceso automatizados y procedimientos formales de control de accesos. El personal que acceda al centro de datos no deberá introducir medios de almacenamiento extraíbles sin autorización. Las bitácoras de acceso deberán resguardarse en un lugar seguro. | Deben cumplir con ISO27000 e ITIL o equivalente. | Autenticación para el acceso. |
| 52 | Vigilancia y Monitoreo | El centro de datos debe contar con personal de vigilancia las 24 horas y un sistema de monitoreo de las instalaciones (CCTV, etc.). El sistema de monitoreo debe almacenar los videos de vigilancia con historial de por lo menos 30 días y almacenarlos en un lugar seguro, fuera de las instalaciones principales. El personal debe estar debidamente capacitado y contar con las herramientas necesarias para responder en caso de emergencias. | 30 días. | Información respecto a la seguridad física con la que cuenta la AC, considerando los controles de seguridad tales como, CCTV, bardas perimetrales, sistemas de control de acceso y autenticación al área de servidores, control y gestión de exclusas, bitácoras del personal visitante al centro de datos. | ||
| 53 | Señalización | Las instalaciones deben contar con señalización que indique claramente: - Áreas de acceso restringido. - Rutas de evacuación. - Ubicación del equipo de emergencia. | Deben cumplir con ISO27000 e ITIL o equivalente. | Instructivo de señalización de las áreas. |
| Controles Ambientales | 54 | Medidas contra Incendios | El centro de datos debe contar con medidas de protección contra incendios. | Contar con certificación TIERIV o equivalente. | Información de sensores de humo, aspersores, sensor de humedad, extintores o cualquier otro mecanismo de medidas contra incendios. |
| 55 | Aire Acondicionado | El centro de datos debe contar con un sistema de aire acondicionado. | Contar con certificación TIER-IV o equivalente. | Contrato del mantenimiento de los sistemas de aire acondicionado. | |
| 56 | Medidas contra Inundaciones | El centro de datos debe contar con medidas de protección contra inundaciones. | Contar con certificación TIER-IV o equivalente. | Contrato del mantenimiento de los sistemas de flujo de agua. |
| | Servicios de Soporte | 57 | Instalación Eléctrica | El centro de datos debe contar con medidas de seguridad en el cableado y medidas de respaldo de energía de emergencia. La infraestructura eléctrica debe revisarse por lo menos cada 6 meses para garantizar su buen funcionamiento. | Contar con certificación TIER-IV o equivalente. | Contrato del mantenimiento de: a) Generadores. b) UPS. c) Baterías de respaldo. d) Acometidas de energía. e) Cableado. |
| 58 | Planes y Contratos de Mantenimiento | El centro de datos debe contar con planes de mantenimiento y contratos vigentes con proveedores de los medios y dispositivos de controles ambientales y servicios de soporte. | Contar con certificación TIER-IV o equivalente. | Contratos de Mantenimiento. | ||
| Comunicaciones | 59 | Prevención y Detección de Intrusos | Las redes dentro del centro de datos deben contar con dispositivos de prevención o detección de Intrusos. | Deben cumplir con ISO27000 e ITIL o equivalente. | Configuración, reglas y estatus del IDS/IPS. | |
| 60 | Protección Perimetral | La red debe estar protegida con dispositivos de seguridad que apliquen listas de control de acceso. | Deben cumplir con ISO27000 e ITIL o equivalente. | * Configuración de las reglas o listas de control de acceso del FW. * Proceso de gestión del FW. * Control de acceso al FW. | ||
| 61 | Segmentación de Redes | Las redes deben estar segmentadas para proteger el flujo de información en redes con distintos tipos de usuarios. | Deben cumplir con ISO27000 e ITIL o equivalente. | Controles de segregación de redes. |
| Líneas Base de Seguridad (Endurecimiento y Actualización) | 62 | Líneas Base de Seguridad | El aplicativo debe tener aplicada una línea base de seguridad que debe incluir como mínimo: - Implementación de autenticación de los usuarios (internos o clientes). - Implementación de mecanismo de no repudio de transacciones. - Protección contra inyección de código. - Inicio de sesión seguro. - Validación de datos de entrada / salida para evitar errores en el procesamiento de la información. - Manejo de errores. - Endurecer el sistema. (Hardening) Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que dan soporte al proceso de AC deben contar con líneas base de seguridad documentadas e implementadas, que consideren como mínimo: - Protección del BIOS en arranque de los sistemas. - Deshabilitación de unidades de almacenamiento removibles. - Instalación del S.O. en partición exclusiva. - Inhabilitación de puertos, protocolos usuarios y servicios innecesarios. - Recomendaciones de seguridad del fabricante del equipo y sistema operativo. | Deben cumplir con ISO27000 e ITIL o equivalente. | Documento con configuración y línea base de seguridad del aplicativo, listado de activos, versión del sistema. |
| | | 63 | Actualizaciones | Los activos que dan soporte al proceso de AC deben contar con los últimos parches de seguridad y actualizaciones emitidas por el fabricante de los servidores y sistemas operativos que hayan pasado por un procedimiento de pruebas previas a la implementación. | Deben cumplir con ISO27000 e ITIL o equivalente. | Políticas y procedimientos de control de cambios y control de pruebas para el despliegue de nuevos parches y/o actualizaciones. |
| | Respaldos | 64 | Respaldos | Se deben generar respaldos de los activos y la información que dan soporte al proceso de AC, con la periodicidad definida por la AC. | Periodicidad definida por la AC. | Política y procedimientos para la generación, etiquetado y resguardo de los respaldos. |
| 65 | Etiquetado | Los medios donde se almacene información de los solicitantes y de la AC deberán estar inventariados y etiquetados con el nivel más alto de confidencialidad definido en el proceso de clasificación de información, y se deberá dar el tratamiento de acuerdo a la clasificación. | | |
| 66 | Pruebas de Respaldos | Se debe contar con un plan de pruebas de los respaldos para verificar que son funcionales. | Deben cumplir con ISO27000 e ITIL o equivalente. | * Plan de pruebas de respaldos. * Bitácora de respaldos. |
| 67 | Protección de Medios de Respaldo | Los medios donde se almacenan los respaldos deberán estar protegidos en un área específica para este efecto, en un sitio alterno, en medios encriptados y con medidas de protección contra el acceso no autorizado. | Deben cumplir con ISO27000 e ITIL o equivalente. | * Cifrado de los respaldos. * Responsables que cuenten con acceso a los respaldos. * Controles de seguridad física (caja fuerte). |
| 68 | Destrucción o Borrado | Los medios donde se almacenen respaldos o información de los solicitantes o de la AC deberán estar sujetos a un procedimiento formal de destrucción o borrado seguro que debe contener como mínimo: - Solicitud y Autorización explícitas de la destrucción o borrado. - Actas de destrucción o borrado firmadas por el personal que lo realiza. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Acta de destrucción, ordenes de servicio de destrucción. |
| | Criptografía | 69 | Criptografía en servicios expuestos | Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes, deberán contar con mecanismos de criptografía. Se deberá de utilizar un algoritmo de cifrado. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Documento en donde se especifiqué el método y la criptografía usada en caso de tener servicios expuestos. |
| 70 | Protección de Llaves y Certificados | Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto con algún material opaco y contar con salvaguardas que impidan que sea abierto o que invaliden la información en caso de que sea forzado, además de contar por lo menos con las siguientes medidas: - Control de Accesos Físicos y Lógicos (Sólo personal autorizado). - Registro de Hashes de Control. - Segregación de roles con acceso a los dispositivos de almacenamiento de llaves y certificados. - Instalación única de la llave provista para la operación de la AC (respaldada por un acta firmada por los responsables de su instalación y custodia). -Contexto o partición exclusiva para el almacenamiento de los certificados. | Implementación de HSM. | Características del HSM, registro de inserción, cambios a los certificados, documento de segregación de roles, bitácoras. | |
| Pruebas de Seguridad | 71 | Pruebas de Seguridad | Se deben realizar, documentar y dar seguimiento a pruebas de seguridad en los activos que dan soporte al proceso de AC al igual que al propio aplicativo de AC. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Plan de pruebas de seguridad, reportes de las pruebas de seguridad y hallazgos. |
| 72 | Seguimiento a hallazgos de pruebas de Seguridad | Se debe realizar un plan para atender los hallazgos detectados durante las pruebas de seguridad y reportar a la Secretaria, en su caso a la SE o al SAT, en un lapso no mayor a 24 horas, el diagnóstico y la solución pertinente. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Plan de seguimiento a los hallazgos y control de cambios de los mismos. | |
| Protección Contra Código Malicioso | 73 | Protección contra Código Malicioso | Todos los activos tecnológicos que dan soporte al proceso de AC deberán contar con una solución de protección contra código malicioso instalada y actualizada. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | IPS, IDS, antivirus, programas de protección. |
| | Separación de Ambientes | 74 | Separación de Ambientes | Los ambientes de desarrollo, pruebas y producción deben estar separados física o lógicamente unos de otros y todos deben tener su propia administración de accesos. | Deben cumplir con ISO27000 e ITIL o equivalente. | Diagrama de arquitectura de hardware. |
| 75 | Aislamiento de información | La información del proceso de AC debe estar separada física o lógicamente de la información de otros procesos o aplicativos proporcionados por la AC. | Deben cumplir con ISO27000 e ITIL o equivalente. | Diagrama de arquitectura, listado de activos, arquitectura de software, diagrama de red y reglas de red. | |
| Seguridad en Aplicativo | 76 | Documentación | El aplicativo de AC debe contar con documentación técnica completa. La documentación técnica debe incluir como mínimo: - Flujo de Datos. - Modelo y Diccionario de Datos. - Diagrama de implementación. | Deben cumplir con ISO12207 y SCRUM o SEI-CMM. | Mapa del flujo de datos, modelo y diccionario de la base de datos. |
| 77 | Control de Cambios | El aplicativo debe contar con un proceso formal de control de cambios, que debe incluir como mínimo: - Estimación de impacto de cambios. - Pruebas. - Autorización. - Liberación de cambios. - Reversos de cambios. | Deben cumplir con ISO12207 y SCRUM o SEI-CMM. | Documento con el proceso de control de cambios, evidencia de un control de cambios, bitácoras, aprobaciones. | |
| 78 | Bitácoras | El aplicativo debe contar con bitácoras de acceso y uso, que deben contener como mínimo: - Fecha y hora. - Usuario. - IP origen. - Folio. - Detalle de la actividad (RFC y detalle como mínimo). Se debe registrar lo siguiente en la bitácora: - Registro de intentos de acceso fallidos. - Registro de accesos exitosos. - Registro de cierre de sesión ya sea por inactividad o por parte del usuario. - Registro de consulta de las propias bitácoras. - Registro de errores y/o excepciones. - Registro de actividad de los usuarios: a) Registro de Altas, Bajas y cambios. b) Registro de impresiones. c) Registro de consultas a documentos. d) Registro de documentos. Lo anterior a nivel base de datos, aplicación y sistema operativo. Las bitácoras están enfocadas al personal administrativo de la aplicación o servicio. | 12 meses en sistema y 5 años en histórico. | Bitácoras, pantallas. | |
| 79 | Expiración de sesión por inactividad | El aplicativo debe contar con sesiones que expiren después de máximo 10 minutos de inactividad. El reingreso deberá de solicitar de nuevo las credenciales. | Máximo 10 minutos. | Pantalla. |
| | Acceso a base de datos | 80 | Procedimiento de acceso a la base de datos | Se debe de especificar un procedimiento por medio del cual la Secretaría, o en su caso la SE o el SAT, puedan tener acceso a las bases de datos de información de la AC. | Deben cumplir con ISO27000 e ITIL o equivalente. | Documento que contenga el proceso. |
| Servidor de tiempo | 81 | NTP | Las transacciones de timbrado del proceso de AC deben estar sincronizadas usando un servidor de NTP con GPS. | Cumpliendo con (según aplique): RFC 5905: Network Time Protocol Version 4: Protocol and Algorithms Specification. RFC 5906: Network Time Protocol Version 4: Autokey Specification. RFC 5907: Definitions of Managed Objects for Network Time Protocol Version 4 (NTPv4). RFC 5908: Network Time Protocol (NTP) Server Option for DHCPv6. | Configuración y uso de servidor de tiempo. | |
| Encripción de Datos | 82 | Encripción de datos del solicitante. | Debe existir una política y procedimientos formales que aseguren el manejo de la información y los datos personales de los solicitantes. Los cuales deben estar encriptados tanto en su almacenamiento, tránsito y medios que los contengan. Deberá de existir un procedimiento de resguardo de certificados apegado a las mejores prácticas. Política de cifrado de información y gestión de las llaves públicas y privadas. Se deben de contemplar por lo menos los requerimientos para la protección de datos personales en posesión de particulares, de conformidad con las disposiciones jurídicas aplicables en la materia. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Documentos, procedimiento, mejores prácticas. |
| 83 | Implementar controles de validación de integridad de datos | Deberán de existir procesos y procedimientos para la gestión de la integridad de la información almacenada y gestionada en servicio. Implementar un proceso de monitoreo que detalle el mecanismo de control de cambios realizados sobre la información sensible de los solicitantes y los documentos digitales. Se debe de validar que la información es consistente e íntegra, que los registros no se pueden cambiar sin que se generen alertas. Se deberán de implementar medios para validar y mantener la integridad de la información. | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Documento de proceso de gestión de la integridad. |
| | | 84 | Implementar controles de validación de seguridad de la aplicación. | Debe existir una política y procedimientos para llevar a cabo la validación de la seguridad del aplicativo. Considerando las pruebas de seguridad para al menos los siguientes rubros: A1: SQL Injection. A2: Cross-site Scripting. A3: Broken Authentication and Session Management. A4: Insecure Direct Object Reference. A5: Cross-site Request Forgery. A6: Security Misconfiguration. A7: Failure to Restrict URL Access. A8: Insufficient Transport Layer Protection. A9: Unvalidated Redirects and Forwards. A10: Ataque de negación de servicio (DDoS, por sus siglas en inglés, Distributed Denial of Service). | Deben cumplir con ISO27000, ISO31000, Risk IT o equivalente. | Documento con políticas, procedimientos y reportes. |
| 85 | Implementar controles de validación de seguridad de datos para el flujo de la aplicación. | Debe existir una política y procedimientos para llevar a cabo la validación de los datos ingresados a la aplicación, con el fin de identificar y realizar la gestión adecuada. Se deberá considerar: Uso de catálogos. Validación de entradas. Codificación de salidas. Validación y administración de contraseñas. Administración de sesión. Prácticas de criptografía. Administración de errores y accesos. Protección de datos. Seguridad de la comunicación. Configuración del sistema. Seguridad en la base de datos. Administración de archivos. Mejores prácticas de codificación. | Deben cumplir con ISO27000 e ITIL o equivalente. | Documento con las políticas y procedimientos para llevar a cabo la validación de los datos ingresados. |
| | SLAs | 86 | Deberán mantenerse y registrarse los niveles de servicio | Se deberán registrar y reportar niveles de servicio de la aplicación. Se debe de contar con un procedimiento documentado de cómo se capturan y reportan los Niveles de Servicio. Se deberá generar un reporte con los Niveles de Servicio de forma mensual. El mínimo requerimiento de nivel de servicio es del 99.99% de disponibilidad mensual. | Mensual. | Reporte. |
| Consulta de la Secretaría | 87 | Implementar un medio de consulta de bitácora para la Secretaría. | Debe de existir un procedimiento para la consulta en línea de las bitácoras del aplicativo, el cual deberá de tener controles de seguridad así como implementación de mejores prácticas de seguridad. | Diario. | Procedimiento de acceso y reportes. | |
| Consulta de la Secretaría | 88 | Prevención de Pérdida de la Información | Se debe de implementar un procedimiento que registre y monitoree la actividad de cada equipo que interviene o tiene contacto con la operación del servicio, a fin de evitar el uso indebido o pérdida de la información. | Diario. | Procedimiento, pantallas, bitácoras, reglas, herramienta. |
| 89 | Prevención de Pérdida de la Información | Se debe de implementar un procedimiento que registre y monitoree la actividad de cada equipo que interviene o tiene contacto con la operación del servicio, a fin de evitar el uso indebido o pérdida de la información. | Diario. | Procedimiento, pantallas, bitácoras, reglas, herramienta. |
| Cumplimiento Legal y Regulatorio | Cumplimiento con Leyes y Regulaciones Aplicables | 90 | Conocimiento de Leyes y Regulaciones Aplicables | El representante legal de la AC debe presentar un documento donde afirme que conoce y respetará el apego a las leyes y demás instrumentos jurídicos aplicables vigentes. El aspirante deberá indicar que conoce su responsabilidad de verificar el cumplimiento del marco jurídico aplicable a la materia. El aspirante deberá indicar que exime a la Secretaría de cualquier responsabilidad derivada del incumplimiento de las leyes aplicables. | | Documento firmado por el representante legal. |
| Cumplimiento con Leyes y Regulaciones Aplicables | 90 | Declaración de prácticas de certificación de la AC | El representante legal de la AC debe presentar su proyecto de Declaración de prácticas de certificación de la misma. | Cumplir con el RFC 3647. | Documento con la Declaración de prácticas de certificación, mismo que deberá estar publicado en internet. |