Matriz de Controles para la Revisin de Seguridad para los PSRDD

Nota: La presente matriz estar vigente a partir del 09 de febrero de 2015.

rea de
Control

Sub-rea de
Control

ID Control

Control

Interpretacin del Control

Periodicidad / Parmetro Requerido

Entrega esperada

rea de control: Postura de la Empresa sobre la Seguridad de la Informacin

Parmetros internos y externos del ambiente PSRDD, establecer el alcance y criterios de riesgos.
Contexto del negocio en donde ste
pretende alcanzar sus objetivos.
Se espera un documento donde se identifique el contexto donde el PSRDD se va a desenvolver, los
factores que pueden afectar, los riesgos, factores de cambio.

Requerimientos de negocio de los

distintos participantes (internas y
externas)

Entendimiento
del negocio

Requerimientos de negocio de los distintos participantes, involucrados en el proceso de prestacin de

servicios. Ej. Gobierno, IFAI, Contribuyente, Negocio.
Se espera un documento en donde se especifique qu requerimientos existen para que el negocio
pueda operar.

Documento con la
descripcin del contexto de
negocio.

Documento y mapa de
requerimientos.

Definir alcance de los objetivos y

procesos de negocio.

1. Proceso documentado del negocio.

2. Alcance detallado del proceso.
3. Objetivos, indicadores claves de cumplimiento y mtricas.
4. Entradas y salidas del proceso. (Diagrama)
5. Roles, responsabilidades y competencias del personal que interviene en el proceso.
6. Recursos que intervienen en la ejecucin del proceso. (organigrama)
7. Tareas que se ejecutan en el proceso.
8. Indicadores y mtricas que demuestren que el proceso se realiza de forma eficiente.
9. Estndares, normas o buenas prcticas al que esta alineado el proceso.
10. Monitoreo y evaluacin del proceso.

Documento

Liderazgo y compromiso

1. Se debe de tener objetivos y una poltica de seguridad de la informacin de alto nivel compatible
con la estrategia de negocio corporativa dentro del alcance de los servicios del negocio.
2. Asegurar que los requerimientos de la seguridad de la informacin estn integrados a los procesos
organizacionales relacionados con los servicios del negocio.
3. Asegurar que se proporcionen los recursos requeridos para mantener la seguridad de la informacin
del negocio.
4. Comunicar en forma efectiva la importancia de mantener los niveles adecuados de seguridad de
informacin y se conforme con todo lo solicitado por el SAT en ste rubro.
5. Asegurar que los requerimientos de seguridad de la informacin alcanza sus objetivos.
6. Dirigir y liderar los roles gerenciales para contribuir a la efectividad en el cumplimiento de los
requerimientos de seguridad y la mejora continua de su gestin.

Documento con la
incorporacin de la estrategia
de seguridad con la
estrategia del negocio.
Documento con los recursos
asignados.
Documento con el programa
de seguridad de la
informacin.
Documento de reporte de
asignacin y supervisin de
avance del programa de
seguridad de la informacin.

Poltica de seguridad de la
informacin de alto nivel

1. Anlisis del ambiente actual y pronosticado de amenazas a la seguridad de la informacin.

2. Conceptos de seguridad de la informacin, principios y gobernanza que se le va a dar.
3. Objetivos de seguridad de la informacin con respecto al negocio.
4. Atencin a desviaciones y exclusiones.
5. La poltica debe de estar firmada y comunicada por la alta direccin.

Documento con poltica.

1. Poltica de seguridad de la informacin. - Contiene los lineamientos generales de las polticas de informacin.
2. Poltica de la organizacin de la seguridad de la informacin.
Contiene los lineamientos bajo los cuales se rige la seguridad de la informacin.
3. Poltica para seguridad de los recursos humanos. - Polticas relacionadas a la administracin del recurso humano.
4.Poltica de gestin de activos. - Polticas que definirn el proceso con lo cual se gestionarn los activos.
5. Poltica de control de accesos. - Poltica que detalla el acceso a las diferentes instalaciones.
6. Poltica de criptografa. - Poltica de uso de criptografa en aplicaciones y servicios.
7. Poltica de seguridad fsica y ambiental. - Polticas que rigen la seguridad fsica y ambiental de las distintas instalaciones.
8. Poltica de seguridad en las operaciones. - Polticas con las consideraciones de seguridad para las operaciones diarias.
9. Poltica de seguridad en las comunicaciones. - Polticas que rigen las comunicaciones para los activos que participan en el proceso.
10. Poltica para la adquisicin, desarrollo y mantenimiento de sistemas
Las polticas que tienen impacto en la operacin, los nuevos sistemas y su impacto en los sistemas.
11. Poltica de relaciones con los proveedores.
Las polticas que rigen el trato con los proveedores as como las implicaciones de seguridad que se deben de considerar.
Polticas especificas de seguridad de 12. Poltica para la gestin de incidentes de seguridad de la informacin
Documentos de polticas
la informacin
Poltica que regir la gestin del incidente, desde que se presenta el incidente.
13. Poltica para la gestin de los aspectos de seguridad de la informacin en la continuidad de negocio.
Poltica con las consideraciones que se tomarn para el desarrollo del BCP.
14. Poltica para el cumplimiento. - Reglas que se van a tomar en cuenta para el seguimiento y cumplimiento de las normativas de la empresa.
'15. Poltica de uso de contraseas.
La empresa debe contar con una poltica de uso de contraseas, donde se especifique la responsabilidad de los usuarios en el uso de las mismas, caducidad, proteccin de
las mismas.
16. Poltica de equipo desatendido.
La empresa debe contar con una poltica de equipo desatendido, donde se especifique los requerimientos de seguridad para el equipo cuando el usuario no est presente.
17. Poltica de escritorio limpio.
La empresa debe contar con una poltica de Escritorio limpio, donde se especifiquen los requerimientos de seguridad para los puestos de trabajo.
18. Poltica de control de accesos.
La empresa debe tener una poltica y procedimientos formales de Control de Accesos que aplique por lo menos a todos los activos que dan soporte al proceso de PSRDD,
misma que debe ser revisada y actualizada por lo menos cada 6 meses.
*Las polticas debern ser revisadas como mnimo anualmente, exceptuando aquellas que se debern revisar con mayor antelacin

Se debe de tener un responsiva firmada especifica para el rol y responsabilidades de cada elemento
que va a participar en la prestacin del servicio.
Roles, responsabilidades y autoridad
con respecto a la seguridad de la
Debe de considerar por lo menos tipo de documento, rea, fecha, nombre, puesto, descripcin, texto
informacin.
que identifique a que informacin accede, responsabilidades y obligaciones, marco de referencia
normativo (interno y externo), firma y fecha de aceptacin y conformidad.

Liderazgo de la
Alta Direccin

Documentos con responsivas

de los participantes.
Organigrama.
Roles dentro del
organigrama.

Estructura
organizacional

Gestin de administracin del riesgo:

1.-Diseo o eleccin del marco para administrar el riesgo.
Marco del trabajo seleccionado para 2.-Implementar la administracin de riesgos.
la gestin de riesgos de seguridad
3.-Monitorear y revisar el marco de trabajo.
de la informacin.
4.-Mejora continua del marco de trabajos.

Documento con el marco de

trabajo.

* Lo anterior es enunciativo ms no limitativo.

9
Gestin de
riesgos

10

11
Objetivos y
competencias

Metodologa para la gestin de

riesgos

1. Nivel de riesgo aceptable.

2.Proceso de valoracin de riesgos:
2.1 Identificacin de riesgos.
2.2 Anlisis de riesgos.
2.3 Evaluacin de riesgos.
3. Proceso de tratamiento de riesgo.
3.1 Seleccin de tipo de tratamiento con justificacin.
3.2 Declaracin de aplicabilidad de los controles de seguridad de la informacin.
3.2.1 Determinar la aplicacin o no de los controles as como las razones para su aplicacin o
no aplicacin
3.2.2 Determinar si el control esta desplegado, su efectividad o en vas y su plan de
despliegue correspondiente.
3.3 Plan de implementacin de controles.

Ejecucin de los procesos de gestin 1. Valoracin del clculo del nivel del riesgo.
de riesgos.
2. Trazabilidad de la gestin del riesgo.

Objetivos de seguridad de la
informacin

1. Deben estar alineados con la poltica de TI.

2. Debe de ser medible.
3. Deben de tomar en cuenta los requerimientos de seguridad de la informacin, resultado del anlisis
y tratamiento del riesgo.
4. Debe de estar comunicado en la organizacin.
5. Debe de estar actualizado.
6. Plan de trabajo para cumplir los objetivos. (Los siguientes numerales son enunciativos ms no
limitativos)
6.1 Qu es lo que se va a hacer?
6.2 Qu recursos son requeridos?
6.3 Quin va a ser responsable?
6.4 Cundo se va a completar?
6.5 Cmo se va a evaluar los resultados?

Documento con la
metodologa a seguir.

Documento con los

resultados de la gestin de
riesgo.

Documento y plan de trabajo

con los objetivos de la
seguridad de la informacin.

Objetivos y
competencias

12

Competencias

1. Las personas que participan en los servicios del negocio o son encargados de la seguridad de la
informacin debern tener la competencia requerida para desempear sus funciones.(Con base a su
experiencia, educacin y/o entrenamiento adecuado)
2. Plan de capacitacin o entrenamiento para alcanzar o retener las competencias requeridas para
desempear las funciones.

Documento con las

competencias por rol y plan
de capacitacin.

13

Gestin de comunicacin de
seguridad de la informacin con
entidades internas y externas.

La organizacin debe de determinar las necesidades de comunicacin interna y externa relevante para
la administracin del sistema de seguridad de la informacin, se debe de incluir lo siguiente:
1. Qu es lo que se debe de comunicar?.
2. Cundo se debe de comunicar?.
3. A quin se le debe de comunicar?.
4. Quin lo debe de comunicar?.
5. Los procesos que pueden ser afectados por la comunicacin.

Documento que detalle la

gestin de comunicacin

Comunicacin

14

Concientizacin

El personal que este participando debe de tener conocimiento de:

1. La poltica de seguridad de la informacin
2. Su participacin para la efectividad de la seguridad de la informacin y sus beneficios.
3. Las implicaciones de no cumplir con los requerimientos de la seguridad de la informacin.
4. Las sanciones internas a las que se haran acreedores en caso de no cumplir con alguna de las
polticas de seguridad de la informacin.

Plan de concientizacin,
listados de asistencia con
fecha y firma.

* Los puntos son enunciativos ms no limitativos.

rea de control: Operacin de la Seguridad de la Informacin en la empresa

Planear, implementar y controlar los requerimientos y objetivos de seguridad de informacin. Debe de
considerar el control de cambios, as como plan de accin para mitigar cualquier efecto adverso.
Operacin de la
seguridad

15

Operacin

Plan operativo de seguridad

de la informacin, controles
de cambio, controles de
seguridad de la informacin

Los proveedores que ofrezcan servicios al PSRDD debern estar capacitados, conocer y alinearse a las
polticas de seguridad de la informacin de la empresa, lo anterior con el fin de garantizar que el
servicio proporcionado cumple con las especificaciones tcnicas que hayan sido aprobadas y dadas a
conocer en el Portal del SAT.

rea de control: Evaluacin del rendimiento de la Seguridad de la Informacin en la empresa

16

Monitoreo, medicin, anlisis y

evaluacin.

La organizacin deber evaluar si el desempeo y efectividad de su servicio y la seguridad se

encuentran acorde a sus polticas y procesos:
1. Determinar que se debe de monitorear y medir.
2. Determinar qu mtodos se van a utilizar para monitorear, medir, analizar y evaluar.
3. Determinar cundo se deben de monitorear y medir.
4. Determinar quin debe de monitorear y medir.
5. Determinar cundo se revisaran los resultados de monitoreo.
6. Quin deber realizar el anlisis y evaluacin de estos resultados.
7. Quin detonar y dar seguimiento a las acciones correctivas.

Documento de gestin de
monitoreo, reportes de
operacin y atencin a
desviaciones.

* Se debe de considerar el servicio ofrecido al contribuyente y su operacin interna.

Monitoreo y
auditora

La organizacin debe realizar auditorias internas por personal interno o externo con las credenciales
adecuadas para la revisin de los controles, los auditores debern tener independencia operativa.

17

Auditoras realizadas mediante

personal autorizado y seguimiento

La auditora evaluar el cumplimiento de los objetivos o requerimientos de seguridad de la informacin

que se hayan trazado, lo efectivo y eficaz que hayan implementado los controles de seguridad de la
1 vez al ao como mnimo.
informacin para gestionar los riesgos.

Reporte de auditora

Se deber revisar el cumplimiento de la matriz presente.

Se deber planear, establecer e implementar un plan de auditora, que incluya frecuencia, seguimiento
del resultado de las auditoras y responsable de las actividades.

Seguridad de la Plataforma Tecnolgica

HSM

18

Proteccin de Llaves y Certificados

Criptografa

19

Criptografa en servicios expuestos

Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto
con algn material opaco y contar con salvaguardas que impidan que sea abierto o que invaliden la
informacin en caso de que sea forzado, adems de contar por lo menos con las siguientes medidas:
- Control de Accesos Fsicos y Lgicos (Slo personal autorizado).
- Registro de Hashes de Control.
- Segregacin de roles con acceso a los dispositivos de almacenamiento de llaves y certificados.
- Instalacin nica de la llave provista por el SAT (respaldada por un acta firmada por los responsables
de su instalacin y custodia).
-Contexto o particin exclusiva para el almacenamiento de los certificados.

Caractersticas del
dispositivo, registro de
insercin, cambios a los
certificados, documento de
segregacin de roles,
bitcoras.

Documento en donde se
especifiqu el mtodo y la
criptografa usada en caso de
tener servicios expuestos

Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes,
debern contar con mecanismos de criptografa. Se deber de utilizar un algoritmo de cifrado.

El aplicativo debe contar con bitcoras de acceso y uso, que deben contener como mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Folio
- Detalle de la actividad (RFC y detalle como mnimo)

Bitcoras

20

Bitcoras

Se debe registrar lo siguiente en la bitcora:

- Registro de intentos de acceso fallidos.
- Registro de accesos exitosos.
- Registro de cierre de sesin ya sea por inactividad o por parte del usuario.
- Registro de consulta de las propias bitcoras.
- Registro de errores y/o excepciones.
- Registro de actividad de los usuarios:
a) Registro de Altas, Bajas y cambios.
b) Registro de impresiones.
c) Registro de consultas a documentos.
d) Registro de documentos.

12 meses en sistema y 5 aos en histrico.

Bitcoras, pantallas.

*A nivel base de datos, aplicacin y sistema operativo.

Las bitcoras estn enfocadas al personal administrativo de la aplicacin o servicio.

Acceso a base
de datos

21

Procedimiento de acceso a la base

de datos

Se debe de especificar un procedimiento por medio del cual el SAT pueda tener acceso a las base de
datos de informacin del PSRDD.

Sesin

22

Expiracin de sesin por inactividad

El aplicativo debe contar con sesiones que expiren despus de mximo 10 minutos de inactividad. El
reingreso deber de solicitar de nuevo las credenciales.

Documento.

mximo 10 minutos

Pantalla

Lnea base de
seguridad

El aplicativo debe tener aplicada una lnea base de seguridad que debe incluir como mnimo:
- Implementacin de autenticacin de los usuarios (internos o clientes).
- Implementacin de mecanismo de no repudio de transacciones.
- Proteccin contra inyeccin de cdigo
- Inicio de sesin seguro
- Validacin de datos de entrada / salida para evitar errores en el procesamiento de la informacin.
- Manejo de errores.
- Endurecer el sistema. (Hardening)
23

Lnea base de seguridad

Documento con
configuracin y lnea base de
seguridad del aplicativo,
listado de activos, versin del
sistema.

Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que
dan soporte al proceso de PSRDD deben tener contar con lneas base de seguridad documentadas e
implementadas, que consideren como mnimo:
- Proteccin del BIOS en arranque de los sistemas.
- Deshabilitacin de unidades de almacenamiento removibles.
- Instalacin del S.O. en particin exclusiva.
- Inhabilitacin de puertos, protocolos usuarios y servicios innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema operativo.

Debe existir una poltica y procedimientos formal que aseguren el manejo de la informacin y los datos
personales de los Contribuyentes. Los cuales deben estar encriptados tanto en su almacenamiento,
trnsito y medios que los contengan.
Encripcin de
Datos

24

Encripcin de Datos de los

Contribuyentes

Deber de existir un procedimiento de resguardo de certificados apegado a las mejores prcticas.

Documentos, procedimiento,
mejores prcticas.

Poltica de cifrado de informacin y gestin de las llaves pblicas y privadas.

Se debe de contemplar por lo menos los requerimientos establecidos en el 69 del cdigo fiscal y la
proteccin de datos personales en posesin de terceros del IFAI.

Debern de existir procesos y procedimientos para la gestin de la integridad de la informacin

almacenada y gestionada en servicio.
Gestin de la
integridad de
datos

25

Implementar un proceso de monitoreo que detalle el mecanismo de control de cambios realizados

Implementar controles de validacin sobre la informacin sensible de los contribuyentes y los documentos digitales.
de integridad de datos
Se debe de validar que la informacin es consistente e integra, que los registros no se pueden cambiar
sin que se generen alertas.

Documento de proceso de
gestin de la integridad.

Se debern de implementar medios para validar y mantener la integridad de la informacin.

Debe existir una poltica y procedimientos para llevar a cabo la validacin de la seguridad del
aplicativo. Considerando las pruebas de seguridad para al menos los siguientes rubros:

Validacin de
seguridad del
aplicativo

26

A1: SQL Injection

A2: Cross-site Scripting
Implementar controles de validacin A3: Broken Authentication and Session Management
de seguridad de la aplicacin.
A4: Insecure Direct Object Reference
A5: Cross-site Request Forgery
A6: Security Misconfiguration
A7: Failure to Restrict URL Access
A8: Insufficient Transport Layer Protection
A9: Unvalidated Redirects and Forwards

Documento con polticas,

procedimientos y reportes.

Debe existir una poltica y procedimientos para llevar a cabo la validacin de los datos ingresados a la
aplicacin, con el fin de identificar y realizar la gestin adecuada. Se deber considerar:
Uso de catlogos
Validacin de entradas
Codificacin de salidas
Validacin y administracin de contraseas.
Implementar controles de validacin
Administracin de sesin
de seguridad de datos para el flujo
Practicas de criptografa
de la aplicacin.
Administracin de errores y bitcora.
Proteccin de datos
Seguridad de la comunicacin
Configuracin del sistema
Seguridad en la base de datos
Administracin de archivos
Mejores prcticas de codificacin

Validacin de
datos del
aplicativo

27

Consulta de
informacin

28

La consulta de la informacin ser

para uso exclusivo del titular del
documento digital.

Niveles de
Servicio

29

Deber mantenerse y registrarse los

niveles de servicio

Documento con las polticas

y procedimientos para llevar
a cabo la validacin de los
datos ingresados

Se debe de implementar mecanismos para asegurar que slo el titular de la informacin puede
acceder y consultar la informacin en los sistemas.

Documento con
procedimiento, pantallas,
cdigo.

No se deber poder acceder a la informacin del contribuyente en cualquier circunstancia. Esto aplica
a todos los elementos que participan en la prestacin del servicio. Se deber usar un mtodo de
autenticacin con FIEL o certificado de sello del contribuyente

Se deber registrar y reportar niveles de servicio de la aplicacin. Se debe de contar con un

procedimiento documentado de cmo se captura y reportan los Niveles de Servicio.

Mensual

Reporte.

Diario

Procedimiento de acceso y
reportes.

Se deber generar un reporte con los Niveles de Servicio de forma mensual. El mnimo requerimiento
de nivel de servicio es del 99.3% mensual.

Debe de existir un procedimiento para la consulta en lnea de bitcoras del aplicativo, el cual deber
de tener controles de seguridad as como implementacin de mejores prcticas de seguridad.
(Documento)
-----------Funcionalidad-----------La aplicacin deber poder acceder a:
1- Bitcora del aplicativo.
2- Bitcora de la base de datos.
3- Bitcora del sistema operativo.
4- Niveles de Servicio
--------------Formatos--------------Se debe entregar un reporte respetando la nomenclatura del nombre de la siguiente forma:

Consulta SAT

30

Implementar un medio de consulta

para el SAT, se deber de poder
acceder a consultar los bitcoras.

-Tipo de servicio (PSRDD)

-Tipo de bitcora (AP, BD, OS, SL)
-RFC del contribuyente a doce posiciones (persona moral acreditada)
-Ejercicio (ej. 2014)
-Mes del ejercicio a dos posiciones (ej. Enero 01)
-Consecutivo de archivo a tres posiciones (ej. 001, 201)
Ejemplo: PSRDDAPXXXX761015XY201401001
*Se deben utilizar letras maysculas y sin acentos.
Los registros del bitcora debern considerar lo siguiente (lnea por registro):
-

Fecha y hora.
Usuario.
IP origen.
Folio
Detalle de la actividad

*Se deber poder descargar la informacin en formato CSV.

Prevencin de
Perdida de
Datos

31

Prevencin de Prdida de Datos

Se debe de implementar un procedimiento que registre y monitorea la actividad de cada equipo que
interviene o tiene contacto con la operacin del servicio, a fin de evitar el uso indebido o perdida de la
informacin.
Diario
Ej. Acceso a archivo, copias, impresiones, etc.

Procedimiento, pantallas,
bitcoras, reglas,
herramienta.