Académique Documents
Professionnel Documents
Culture Documents
Sub-rea de
Control
ID Control
Control
Entrega esperada
Parmetros internos y externos del ambiente PSRDD, establecer el alcance y criterios de riesgos.
Contexto del negocio en donde ste
pretende alcanzar sus objetivos.
Se espera un documento donde se identifique el contexto donde el PSRDD se va a desenvolver, los
factores que pueden afectar, los riesgos, factores de cambio.
Entendimiento
del negocio
Documento con la
descripcin del contexto de
negocio.
Documento y mapa de
requerimientos.
Documento
Liderazgo y compromiso
1. Se debe de tener objetivos y una poltica de seguridad de la informacin de alto nivel compatible
con la estrategia de negocio corporativa dentro del alcance de los servicios del negocio.
2. Asegurar que los requerimientos de la seguridad de la informacin estn integrados a los procesos
organizacionales relacionados con los servicios del negocio.
3. Asegurar que se proporcionen los recursos requeridos para mantener la seguridad de la informacin
del negocio.
4. Comunicar en forma efectiva la importancia de mantener los niveles adecuados de seguridad de
informacin y se conforme con todo lo solicitado por el SAT en ste rubro.
5. Asegurar que los requerimientos de seguridad de la informacin alcanza sus objetivos.
6. Dirigir y liderar los roles gerenciales para contribuir a la efectividad en el cumplimiento de los
requerimientos de seguridad y la mejora continua de su gestin.
Documento con la
incorporacin de la estrategia
de seguridad con la
estrategia del negocio.
Documento con los recursos
asignados.
Documento con el programa
de seguridad de la
informacin.
Documento de reporte de
asignacin y supervisin de
avance del programa de
seguridad de la informacin.
Poltica de seguridad de la
informacin de alto nivel
1. Poltica de seguridad de la informacin. - Contiene los lineamientos generales de las polticas de informacin.
2. Poltica de la organizacin de la seguridad de la informacin.
Contiene los lineamientos bajo los cuales se rige la seguridad de la informacin.
3. Poltica para seguridad de los recursos humanos. - Polticas relacionadas a la administracin del recurso humano.
4.Poltica de gestin de activos. - Polticas que definirn el proceso con lo cual se gestionarn los activos.
5. Poltica de control de accesos. - Poltica que detalla el acceso a las diferentes instalaciones.
6. Poltica de criptografa. - Poltica de uso de criptografa en aplicaciones y servicios.
7. Poltica de seguridad fsica y ambiental. - Polticas que rigen la seguridad fsica y ambiental de las distintas instalaciones.
8. Poltica de seguridad en las operaciones. - Polticas con las consideraciones de seguridad para las operaciones diarias.
9. Poltica de seguridad en las comunicaciones. - Polticas que rigen las comunicaciones para los activos que participan en el proceso.
10. Poltica para la adquisicin, desarrollo y mantenimiento de sistemas
Las polticas que tienen impacto en la operacin, los nuevos sistemas y su impacto en los sistemas.
11. Poltica de relaciones con los proveedores.
Las polticas que rigen el trato con los proveedores as como las implicaciones de seguridad que se deben de considerar.
Polticas especificas de seguridad de 12. Poltica para la gestin de incidentes de seguridad de la informacin
Documentos de polticas
la informacin
Poltica que regir la gestin del incidente, desde que se presenta el incidente.
13. Poltica para la gestin de los aspectos de seguridad de la informacin en la continuidad de negocio.
Poltica con las consideraciones que se tomarn para el desarrollo del BCP.
14. Poltica para el cumplimiento. - Reglas que se van a tomar en cuenta para el seguimiento y cumplimiento de las normativas de la empresa.
'15. Poltica de uso de contraseas.
La empresa debe contar con una poltica de uso de contraseas, donde se especifique la responsabilidad de los usuarios en el uso de las mismas, caducidad, proteccin de
las mismas.
16. Poltica de equipo desatendido.
La empresa debe contar con una poltica de equipo desatendido, donde se especifique los requerimientos de seguridad para el equipo cuando el usuario no est presente.
17. Poltica de escritorio limpio.
La empresa debe contar con una poltica de Escritorio limpio, donde se especifiquen los requerimientos de seguridad para los puestos de trabajo.
18. Poltica de control de accesos.
La empresa debe tener una poltica y procedimientos formales de Control de Accesos que aplique por lo menos a todos los activos que dan soporte al proceso de PSRDD,
misma que debe ser revisada y actualizada por lo menos cada 6 meses.
*Las polticas debern ser revisadas como mnimo anualmente, exceptuando aquellas que se debern revisar con mayor antelacin
Se debe de tener un responsiva firmada especifica para el rol y responsabilidades de cada elemento
que va a participar en la prestacin del servicio.
Roles, responsabilidades y autoridad
con respecto a la seguridad de la
Debe de considerar por lo menos tipo de documento, rea, fecha, nombre, puesto, descripcin, texto
informacin.
que identifique a que informacin accede, responsabilidades y obligaciones, marco de referencia
normativo (interno y externo), firma y fecha de aceptacin y conformidad.
Liderazgo de la
Alta Direccin
Estructura
organizacional
9
Gestin de
riesgos
10
11
Objetivos y
competencias
Ejecucin de los procesos de gestin 1. Valoracin del clculo del nivel del riesgo.
de riesgos.
2. Trazabilidad de la gestin del riesgo.
Objetivos de seguridad de la
informacin
Documento con la
metodologa a seguir.
Objetivos y
competencias
12
Competencias
1. Las personas que participan en los servicios del negocio o son encargados de la seguridad de la
informacin debern tener la competencia requerida para desempear sus funciones.(Con base a su
experiencia, educacin y/o entrenamiento adecuado)
2. Plan de capacitacin o entrenamiento para alcanzar o retener las competencias requeridas para
desempear las funciones.
13
Gestin de comunicacin de
seguridad de la informacin con
entidades internas y externas.
La organizacin debe de determinar las necesidades de comunicacin interna y externa relevante para
la administracin del sistema de seguridad de la informacin, se debe de incluir lo siguiente:
1. Qu es lo que se debe de comunicar?.
2. Cundo se debe de comunicar?.
3. A quin se le debe de comunicar?.
4. Quin lo debe de comunicar?.
5. Los procesos que pueden ser afectados por la comunicacin.
Comunicacin
14
Concientizacin
Plan de concientizacin,
listados de asistencia con
fecha y firma.
15
Operacin
Los proveedores que ofrezcan servicios al PSRDD debern estar capacitados, conocer y alinearse a las
polticas de seguridad de la informacin de la empresa, lo anterior con el fin de garantizar que el
servicio proporcionado cumple con las especificaciones tcnicas que hayan sido aprobadas y dadas a
conocer en el Portal del SAT.
16
Documento de gestin de
monitoreo, reportes de
operacin y atencin a
desviaciones.
Monitoreo y
auditora
La organizacin debe realizar auditorias internas por personal interno o externo con las credenciales
adecuadas para la revisin de los controles, los auditores debern tener independencia operativa.
17
Reporte de auditora
HSM
18
Criptografa
19
Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto
con algn material opaco y contar con salvaguardas que impidan que sea abierto o que invaliden la
informacin en caso de que sea forzado, adems de contar por lo menos con las siguientes medidas:
- Control de Accesos Fsicos y Lgicos (Slo personal autorizado).
- Registro de Hashes de Control.
- Segregacin de roles con acceso a los dispositivos de almacenamiento de llaves y certificados.
- Instalacin nica de la llave provista por el SAT (respaldada por un acta firmada por los responsables
de su instalacin y custodia).
-Contexto o particin exclusiva para el almacenamiento de los certificados.
Caractersticas del
dispositivo, registro de
insercin, cambios a los
certificados, documento de
segregacin de roles,
bitcoras.
Documento en donde se
especifiqu el mtodo y la
criptografa usada en caso de
tener servicios expuestos
Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes,
debern contar con mecanismos de criptografa. Se deber de utilizar un algoritmo de cifrado.
El aplicativo debe contar con bitcoras de acceso y uso, que deben contener como mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Folio
- Detalle de la actividad (RFC y detalle como mnimo)
Bitcoras
20
Bitcoras
Bitcoras, pantallas.
Acceso a base
de datos
21
Se debe de especificar un procedimiento por medio del cual el SAT pueda tener acceso a las base de
datos de informacin del PSRDD.
Sesin
22
El aplicativo debe contar con sesiones que expiren despus de mximo 10 minutos de inactividad. El
reingreso deber de solicitar de nuevo las credenciales.
Documento.
mximo 10 minutos
Pantalla
Lnea base de
seguridad
El aplicativo debe tener aplicada una lnea base de seguridad que debe incluir como mnimo:
- Implementacin de autenticacin de los usuarios (internos o clientes).
- Implementacin de mecanismo de no repudio de transacciones.
- Proteccin contra inyeccin de cdigo
- Inicio de sesin seguro
- Validacin de datos de entrada / salida para evitar errores en el procesamiento de la informacin.
- Manejo de errores.
- Endurecer el sistema. (Hardening)
23
Documento con
configuracin y lnea base de
seguridad del aplicativo,
listado de activos, versin del
sistema.
Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que
dan soporte al proceso de PSRDD deben tener contar con lneas base de seguridad documentadas e
implementadas, que consideren como mnimo:
- Proteccin del BIOS en arranque de los sistemas.
- Deshabilitacin de unidades de almacenamiento removibles.
- Instalacin del S.O. en particin exclusiva.
- Inhabilitacin de puertos, protocolos usuarios y servicios innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema operativo.
Debe existir una poltica y procedimientos formal que aseguren el manejo de la informacin y los datos
personales de los Contribuyentes. Los cuales deben estar encriptados tanto en su almacenamiento,
trnsito y medios que los contengan.
Encripcin de
Datos
24
Documentos, procedimiento,
mejores prcticas.
25
Documento de proceso de
gestin de la integridad.
Debe existir una poltica y procedimientos para llevar a cabo la validacin de la seguridad del
aplicativo. Considerando las pruebas de seguridad para al menos los siguientes rubros:
Validacin de
seguridad del
aplicativo
26
Debe existir una poltica y procedimientos para llevar a cabo la validacin de los datos ingresados a la
aplicacin, con el fin de identificar y realizar la gestin adecuada. Se deber considerar:
Uso de catlogos
Validacin de entradas
Codificacin de salidas
Validacin y administracin de contraseas.
Implementar controles de validacin
Administracin de sesin
de seguridad de datos para el flujo
Practicas de criptografa
de la aplicacin.
Administracin de errores y bitcora.
Proteccin de datos
Seguridad de la comunicacin
Configuracin del sistema
Seguridad en la base de datos
Administracin de archivos
Mejores prcticas de codificacin
Validacin de
datos del
aplicativo
27
Consulta de
informacin
28
Niveles de
Servicio
29
Se debe de implementar mecanismos para asegurar que slo el titular de la informacin puede
acceder y consultar la informacin en los sistemas.
Documento con
procedimiento, pantallas,
cdigo.
No se deber poder acceder a la informacin del contribuyente en cualquier circunstancia. Esto aplica
a todos los elementos que participan en la prestacin del servicio. Se deber usar un mtodo de
autenticacin con FIEL o certificado de sello del contribuyente
Mensual
Reporte.
Diario
Procedimiento de acceso y
reportes.
Se deber generar un reporte con los Niveles de Servicio de forma mensual. El mnimo requerimiento
de nivel de servicio es del 99.3% mensual.
Debe de existir un procedimiento para la consulta en lnea de bitcoras del aplicativo, el cual deber
de tener controles de seguridad as como implementacin de mejores prcticas de seguridad.
(Documento)
-----------Funcionalidad-----------La aplicacin deber poder acceder a:
1- Bitcora del aplicativo.
2- Bitcora de la base de datos.
3- Bitcora del sistema operativo.
4- Niveles de Servicio
--------------Formatos--------------Se debe entregar un reporte respetando la nomenclatura del nombre de la siguiente forma:
Consulta SAT
30
Fecha y hora.
Usuario.
IP origen.
Folio
Detalle de la actividad
Prevencin de
Perdida de
Datos
31
Se debe de implementar un procedimiento que registre y monitorea la actividad de cada equipo que
interviene o tiene contacto con la operacin del servicio, a fin de evitar el uso indebido o perdida de la
informacin.
Diario
Ej. Acceso a archivo, copias, impresiones, etc.
Procedimiento, pantallas,
bitcoras, reglas,
herramienta.