Ejemplo de Una Matriz de Control
x MATRIZ DE CONTROLES DE SEGURIDAD Manifiesta mi representada que cumple completamente con los puntos contenidos en es
Views 82 Downloads 18 File size 431KB
Recommend stories
- Author / Uploaded
- Edwin Avila Ruiz
Citation preview
x
MATRIZ DE CONTROLES DE SEGURIDAD
Manifiesta mi representada que cumple completamente con los puntos contenidos en esta matriz de control y que cuenta con evidencia del cumplimiento de cada uno de los puntos ahí expresados.
Alcance: "Estos controles aplican a toda la infraestructura y aplicaciones que soportan los servicios que el proveedor otorga en nombre del SAT" ID Control
Control
Descripción
Criterio de Revisión
ID Sec
Revisión
INFRAESTRUCTURA TECNOLÓGICA Centro de Cómputo
1
Ubicación Física
Ubicación del Centro de cómputo libre de riesgos de alto impacto
El Centro de Cómputo deberá estar alejado como mínimo 100mts de lugares de alto riesgo como gasolineras, bancos, gaseras, etc. El Centro de Cómputo debe estar asentado en lugares libres de alto riesgo como minas, acometidas de cableado de luz y gas, etc. El Centro de Cómputo debe contar con protección perimetral adecuada que impida el acceso fácil desde el exterior y de ser posible, debe tener algún elemento adicional de protección como malla de picos, malla eléctrica, etc.
2
Estructura
Centro de Cómputo con protección estructural, perimetral, y con material seguro en muros, protección en rejas, etc.
El Centro de Cómputo debe contar con sistema contra incendios (Gas FM200), detectores de humo. El Centro de Cómputo debe contar con cableado estructurado que cubra la necesidad de continuidad en el servicio de Telecomunicaciones. Para el centro de cómputo se debe contemplar seguridad de interconectividad.
Infraestructura
El Centro de Cómputo debe contar con los elementos físicos de seguridad necesarios para su protección y contra cualquier contingencia.
El Centro de Cómputo debe contar con un adecuado sistema de aire acondicionado para evitar problemas de sobrecalentamiento en el equipo. Restricción de acceso de medios de almacenamiento a personal externo e interno que acceda al Centro de Cómputo. Revisiones periódicas por parte de la Unidad Verificadora de Instalaciones Eléctricas u otro órgano de revisión y validar que el sistema de tierra de seguridad mantiene valores menores a 2 ohms. El sistema eléctrico debe ser monitoreado en línea por un sistema automatizado integrado al sistema de monitoreo general del Centro de Datos.
4
Instalación eléctrica
1.2
Instalación eléctrica, rieles para el cableado, plantas El Centro de Cómputo debe contar con Equipamiento de energía de emergencia, corriente regulada, etc. eléctrico que permita mantener la continuidad del servicio.
¿El Centro de cómputo está ubicado en un lugar seguro? ¿Hay una distancia mínima de infraestructura de alto riesgo de por lo menos 100 mts?
1.3
¿El Centro de cómputo se encuentra asentado en lugar seguro? ¿es visible a simple vista o está en una instalación no evidente?
2.1
¿La protección perimetral impide el acceso desde el exterior?
2.2
Si es una barda, ¿la barda tiene mínimo 3 metros de altura?
2.3
¿Cuenta con malla de picos, eléctrica, otra?
2.4 El Centro de Cómputo debe contar con paredes de concreto, puerta blindada, piso falso, acceso ya sea por sistema biométrico o tarjeta de proximidad o mínimo, con acceso por teclado.
3
1.1
¿El Centro de Cómputo cuenta con paredes de concreto?
2.5
¿Cuenta con puerta blindada?
2.6 2.7
¿Acceso Electrónico? ¿Qué tipo? ¿El piso falso es modular sin permitir espacio entre los módulos?
3.1
¿Seguridad contra incendios mínimo FM200?
3.2
Instalación de cableado estructurado por personal certificado.
3.3
Los equipos de comunicaciones deben estar interconectados por fibra óptica o UTP categoría 6 gigabit.
3.4
¿Cuenta con aire acondicionado que enfríe los equipos de cómputo y comunicaciones?
3.5
Contar con un procedimiento de revisión para restringir o autorizar el acceso de medios de almacenamiento (discos duros portátiles, USB, celulares, Blackberry).
3.6
Revisión semestral de las instalaciones eléctricas
3.7
Evidencia del monitoreo en línea al sistema de monitoreo general del Centro de Datos.
4.1
Equipo UPS para soportar continuidad al menos por 30 minutos.
Cumple/ No Cumple
Observaciones
Tipo de Control
4
Instalación eléctrica
Instalación eléctrica, rieles para el cableado, plantas El Centro de Cómputo debe contar con Equipamiento de energía de emergencia, corriente regulada, etc. eléctrico que permita mantener la continuidad del servicio.
4.2 4.3
5
6
Mantenimiento
Los dispositivos y controles deberán recibir mantenimiento periódico, de acuerdo con las especificaciones del fabricante
Planes de Continuidad y Contar con la documentación del Plan de Continuidad de Negocio (BCP) y Plan de de Recuperación en Recuperación en Caso de Desastres (DRP) Caso de Desastres
Planta de energía que permita mantener la continuidad del servicio por al menos 1 día y con capacidad de recarga de combustible. Se cuenta con alimentación eléctrica de dos fuentes redundantes.
5.1
¿Los planes de mantenimiento son actualizados por lo menos anualmente? Evidencia.
5.2
Los equipos UPS y Planta de emergencia se prueban por lo menos cada 3 meses? - Registro de pruebas con al menos Fecha y hora de la prueba. Responsable de la ejecución de las pruebas. Momento de corte de corriente. Desempeño de los equipos UPS (tiempo total del corte de corriente/Capacidad de carga final). Momento del Inicio de la planta. Capacidad de combustible de la planta al inicio de la prueba. Capacidad de combustible de la planta al final de la prueba. Observaciones. Firma del personal del centro de datos responsable de la prueba. .
Documentación necesaria de BCP que consideran las aplicaciones e infraestructura requerida para garantizar la continuidad de la operación.
6.1
Se cuenta con la Documentación del Plan de Continuidad de Negocio en el que se incluye el Centro de Cómputo, infraestructura, Equipamiento, Aplicativo, SO y BD?
Los planes de continuidad son probados al menos anualmente para verificar su efectividad y eficiencia, y las desviaciones son atendidas de manera inmediata, las desviaciones son solventadas en menos de 3 meses.
6.2
Evidencia de pruebas realizadas.
Documentación necesaria de DRP que consideran las aplicaciones e infraestructura requerida para garantizar la continuidad de la operación.
6.3
Se cuenta con la Documentación del Plan de Recuperación en Caso de Desastres en el que se incluye el Centro de Cómputo, infraestructura, Equipamiento, Aplicativo, SO y BD?
Los planes de continuidad son probados al menos anualmente para verificar su efectividad y eficiencia, y las desviaciones son atendidas de manera inmediata, las desviaciones son solventadas en menos de 3 meses.
6.4
Evidencia de pruebas realizadas.
El Centro de Cómputo debe contar seguridad en los dispositivos de telecomunicaciones, cuarto de control protegido, y garantizar la continuidad de las telecomunicaciones.
7.1
Segmentación de redes en zonas, implementando dispositivos firewall para restringir el acceso a los sistemas que almacenan y procesan la información relacionada con el SAT,CFDI y contribuyentes.
7.2
La infraestructura de red se ha configurado para que únicamente sistemas e individuos autorizados tengan acceso a los sistemas con información relacionada con el SAT,CFDI, y contribuyentes.
7.3
Inspección en sitio de los equipos, y/o ejecución de comandos para extraer la configuración de los dispositivos de red.
8.1
¿Se cuenta con guardias de seguridad en cada punto de control para proteger las instalaciones y asegurar el acceso controlado?
8.2
¿El personal de seguridad cuenta con equipo de comunicaciones y seguridad, así como acceso a números de emergencia?
8.3
¿Se cuenta con bitácora de acceso tanto a las instalaciones como al centro de cómputo? Las bitácoras deben indicar al menos el nombre de la persona que accesó, hora y fecha de entrada, motivo, persona que autoriza su acceso si es que no tiene acceso permanente, personal policial que lo acompañó, firmas de ambos.
8.4
¿La persona que accede entrega credencial oficial con fotografía? Evidencia.
El Centro de Cómputo debe contar con un Plan de Mantenimiento para los equipos, cableado, sistemas contra incendio, plantas, etc.
Telecomunicaciones
7
Servicio de Telecomunicaciones
Infraestructura de telecomunicaciones, protección de dispositivos, etc. Implementación de dispositivos y controles para prevenir el acceso no autorizado a los sistemas. Segmentación de redes
Inspección física del cuarto de comunicaciones para verificar que cumpla con los requerimientos de seguridad definidos. Inspección física y documental para verificar la segmentación de redes e implementación de dispositivos de red para restringir el acceso a los sistemas con información relacionada con el SAT,CFDI, y contribuyentes.
Control de Acceso El Centro de Cómputo debe contar con personal de vigilancia de manera permanente, y suficiente para asegurar el acceso controlado y seguro, así como con personal de seguridad que monitoree las instalaciones para atender problemas.
Personal de seguridad permanente, procedimientos
8
Seguridad física policial de vigilancia y acceso a las instalaciones mediante bitácoras, gafetes, credenciales, etc. Toda persona que acceda al Centro de Computo y en general a las instalaciones, deberá registrar su acceso en una bitácora destinado para ello.
Personal de seguridad permanente, procedimientos
8
Seguridad física policial de vigilancia y acceso a las instalaciones mediante bitácoras, gafetes, credenciales, etc. Toda persona que acceda al Centro de Computo y en general a las instalaciones, deberá registrar su acceso en una bitácora destinado para ello.
9
Señalización
8.5
¿Se cuenta con seguridad para el resguardo de la bitácora? Se mantienen los registros de acceso de los últimos 6 meses? Evidencia.
Las instalaciones deben contar con señalización que indique claramente áreas sensibles y áreas restrictivas a los visitantes y personal no autorizado.
9.1
¿Se cuenta con señalización clara y distinción código de colores de áreas críticas de acceso controlado?
Las puertas de emergencia de las instalaciones y lugar de resguardo de equipo contra incendio y demás equipo para uso en caso de emergencias, debe estar perfectamente señalizado.
9.2
Inspección física y/o documental para asegurar que las instalaciones del centro de cómputo y de las instalaciones en general, cuentan con señalización clara sobre rutas de evacuación y en general de las instalaciones.
9.3
Inspección física y/o documental para verificar que las puertas de emergencia: - No pueden ser abiertas desde el exterior. - Activan una alarma visual y sonora a su apertura.
9.4
El personal que accede al Centro de Cómputo y a las instalaciones, porta en todo momento durante su estancia gafete o credencial autorizada?
9.5
El personal de la empresa que no cuenta con credencial, también deja identificación oficial con fotografía y los canjea por gafete autorizado.
10.1
¿El acceso a las instalaciones y al centro de cómputo, es mediante dispositivos de control de acceso electrónicos, biométricos, etc.? Cuál(es)?
10.2
La información de acceso que se registra indica persona que accede e información completa de la persona, fecha y hora.
10.3
El personal de acceso al centro de cómputo es reducido y se justifica por razones operativas o del negocio. Los registros están protegidos y se evita su posible modificación o eliminación? Evidencia.
Centro de cómputo seguro e instalaciones en general señalizado, que indiquen áreas seguras y/o Las puertas únicamente pueden ser abiertas desde el interior críticas del inmueble, y emiten una alarma sonora a su apertura.
Distinción de áreas en los gafetes que se le entregan al personal visitante o a empleados sin credencial autorizada.
10
Control de Acceso Electrónico
Mecanismos de control de acceso electrónicos, biométricos o de tarjetas de proximidad para acceso, puertas con dispositivos o teclados de combinación numérica, etc.
Se requiere que tanto para acceso al centro de cómputo como en general para las instalaciones, se cuente con mecanismos electrónicos, biométricos, de tarjetas de proximidad o mínimo de teclado electrónico para el control de acceso.
10.4
11
Visitas, proveedores
Los accesos por mantenimiento, fallas y otros, Toda persona que acceda al Centro de Cómputo ya sea por deben ser controlados y acompañados por personal visita, mantenimiento a equipo, infraestructura, sistemas, de seguridad etc. o por contingencia, deberá ser acompañado por personal de vigilancia para verificar los trabajos realizados.
11.1
12.1
12
Cámaras de Seguridad
Vigilancia electrónica mediante videos de seguridad, su respaldo y resguardo
El Centro de Cómputo y en general las instalaciones deberán contar con cámaras de vigilancia cuyo mecanismo deberá ser resguardado y administrado correctamente, tanto para su uso como para las cintas de respaldo y su resguardo.
12.2
¿Existen bitácoras, videos o cualquier evidencia de que el personal policial acompaña a los visitantes al Centro de Cómputo? ¿Cuál(es) es(son)?
¿Existen Cámaras de Vigilancia para acceso y movimientos en las instalaciones y Centro de cómputo? Identificarlas y mostrar cuarto de control ¿Existen bitácoras o evidencia de que se llevan a cabo respaldos de los videos de las cámaras de Seguridad? ¿Periodicidad de los respaldos?
12.3
¿Los videos son resguardados en lugar seguro?
12.4
¿Se guarda una copia en lugar distinto a las instalaciones principales?
El Aplicativo deberá estar alojado en equipo de cómputo actualizado y que cuente con los elementos que garanticen el rendimiento y funcionalidad requeridos por el aplicativo y sobre todo por el servicio.
13.1
Evidencia documental del registro del modelo del equipo, el tamaño de la memoria y capacidad en disco duro y del análisis de dimensionamiento inicial de los requerimientos de hardware y software.
Configuraciones para protegerse de posibles ataques físicos.
13.2
Mantener actualizado el firmware, establecer contraseñas complejas para el arranque del equipo y la configuración de la BIOS, deshabilitar el inicio de sistema desde cualquier unidad que no sea el disco duro principal, deshabilitar los dispositivos USB. Evidencia de las actualizaciones y configuraciones base.
Instalación del sistema operativo.
13.3
Generar una partición exclusiva para el sistema operativo. No instalar componentes de sistema que no sean necesarios para el funcionamiento del aplicativo (puertos y servicios innecesarios).
Configuración adecuada de servicios de actualizaciones automáticas.
13.4
Debe contar con un servidor de actualizaciones para mantener actualizadas todos las actualizaciones del fabricante. Probar en entorno controlado las actualizaciones antes de instalarlas. Evidencia.
Equipo de Cómputo
13
Tecnología Actualizada Equipo de cómputo actualizado
13
14
15
Tecnología Actualizada Equipo de cómputo actualizado
Sistema Operativo
Capacidad
Versión actualizada
Especificaciones técnicas actualizadas
Instalación, configuración y actualización de programas de seguridad.
13.5
Contar con agentes de seguridad como antivirus, antispyware y HIPS – Detector de Intrusos de Host. Evidencia.
Firewalls locales (protección en la DMZ).
13.6
-Ipsec Reglas de entrada y salida de tráfico Cifrado de comunicaciones Evitar conexiones a sistemas no autorizados -Windows Firewall / IPTable Definición de aplicaciones válidas
Renombrar el usuario Administrador y posterior deshabilitar las cuentas estándar del sistema.
13.7
Demostrar que están renombrados el Administrador e invitado.
Configuración de los protocolos de Red.
13.8
Deshabilitar todos aquellos protocolos de red innecesarios en el sistema y limitar el uso de los mismos al de TCP/IP.
Configuración de acceso remoto.
13.9
Es recomendable deshabilitar el acceso remoto, a menos que sea estrictamente necesario. Sin embargo, cuando es necesario tener control remoto de la máquina, es preciso configurarlo de manera adecuada, restringiendo el acceso a un número muy limitado de usuarios, restringiendo al mínimo las conexiones concurrentes, tomando cuidado en la desconexión y cierre de sesión y estableciendo un canal cifrado de comunicaciones para tales propósitos, como SSH (en caso de Linux o Unix).
El sistema operativo instalado en el equipo deberá ser el adecuado para su correcto funcionamiento.
14.1
Indicar con qué versión de SO cuenta el equipo.
15.1
Se han definido procedimientos y herramientas para monitorear la capacidad de la infraestructura tecnológica y determinar si se requiere incrementar la capacidad para cumplir con los requerimientos actuales y futuros de la operación? Como mínimo se debe registrar tiempos de procesamiento, Capacidad de almacenamiento, Enlaces de redes.
La infraestructura y el equipo de cómputo deberá contar con el control de capacidades y rendimiento. 15.2
15.3
16.1
16
Retiro de Discos
Documentación y políticas para el retiro de discos duros, cintas, discos óptimos y cualquier otro medio electrónico directamente ligado al proceso
Se debe contar con el registro de todos los medios electrónicos que tienen relación con el proceso, además de contar con procedimientos para el retiro de los medios electrónicos ya sea por daño, obsolescencia o que se haya cubierto su vida útil.
16.2
16.3
17
Servidor de Tiempo
APLICATIVO Desarrollo
Integración de un servicio de tiempo GPS
El proveedor debe contar con un servidor de tiempo NTP, con una sincronización por medio de un GPS en su infraestructura.
17.1
Inspección documental de archivos de configuración y/o entrevistas con el personal del PAC para determinar si se han implementado procedimientos para la evaluación semestral de indicadores clave de operación de la infraestructura en relación con los requerimientos actuales y las tendencias de crecimiento identificadas. Inspección de documentación sobre los análisis realizados, las decisiones y los planes de acción para determinar si se han tomado acciones para atender las desviaciones.
¿Se cuenta con un registro de inventario de los medios empleados? El registro debe contener al menos Tipo de medio, tipo de información almacenada. ¿Se cuenta con un registro de los medios destruidos? El documento como mínimo deberá contener la firma del responsable, motivo de la baja de los medios, el nombre del responsable, cantidad de dispositivos, fecha, hora y comentarios adicionales.
¿Se destruye el medio en caso de obsolescencia, por daño o al haber cubierto su vida útil? Indicar proceso y generar Acta de Destrucción o documento que avale y deje constancia de la acción.
Se cuenta con un servidor de tiempo NTP sincronizado a través de GPS.
|
18 Arquitectura
Características que debe contemplar el diagrama de Se debe entregar el mapa de conectividad y equipamiento en Arquitectura y si es posible, incluir un ejemplo o el que se muestre la interoperabilidad entre los mínimos requisitos contribuyentes, el Proveedor de Servicios y el SAT.
Mecanismo de Administración y Control de Acceso
Políticas de Control de Acceso
18.1
¿Se cuenta con diagrama de Arquitectura?
Entrega de documentación que indique la administración de claves de acceso. Implementación de Controles para el Alta, Cambios y Baja de los usuarios.
19.1
Documentación de los procedimientos del mecanismo de control de acceso que indique cómo se lleva a cabo la acción.
Implementación de Controles y reglas para el Alta, Cambios y Baja de los usuarios.
19.2
¿Se especifican las reglas para el alta, baja y cambios de claves de acceso? Mostrar Procedimiento.
Las claves de acceso estarán sujetas a las políticas de control de acceso, cancelación de claves, baja por rotación o salida de personal.
19.3
Se deberá bloquear la clave de acceso al existir un máximo de 3 intentos fallidos.
19.4
Se deberá dar de baja la clave de acceso, por un mínimo de 30 días de inactividad.
19.5 19.6
19
Control de Acceso
Las políticas de control de acceso deberán ser revisadas y actualizadas por lo menos cada 6 meses. 19.7
Definición de longitud de claves, estructura de claves.
Las claves de acceso deben ser de fácil definición para que estas puedan ser fácilmente identificadas.
19.9
¿La construcción de las claves de acceso impide que sea la misma que el usuario o que sea un espacio en blanco?
19.10
Se debe seguir un estándar institucional para la creación de cuentas de acceso, por ejemplo el uso de RFC corto. ¿Se emiten responsivas cada vez que se asigna una nueva clave de acceso?
¿Las claves de acceso están conformadas por 8 caracteres?
La asignación de las claves de acceso, deberán estar respaldadas por sus respectivas Responsivas de asignación y uso de claves.
19.11 19.12
¿Existe un procedimiento para la asignación y seguimiento de las responsivas de control de acceso?
20.1
¿Las contraseñas de acceso son de al menos 8 caracteres? ¿Las contraseñas de acceso incluyen al menos una mayúscula?
20.2 20.3
21
Contraseñas
Longitud de contraseñas y políticas para estructura Cambio de contraseña en el primer inicio de sesión en el de las mismas, rotación de contraseña, revocación sistema. Se deberá de bloquear la clave con un máximo de 3 intentos de acceso, intentos fallidos, etc. fallidos.
20.4 20.5
¿El sistema obliga al usuario a cambiar la contraseña una vez que el usuario realizó el primer inicio de sesión en el sistema? ¿La clave de acceso es bloqueada al fallar mínimo en tres ocasiones seguidas?
20.6
¿El sistema de control de acceso obliga al usuario a cambiar su contraseña mínimo cada 30 días?
El aplicativo no deberá permitir repetir una contraseña al menos en tres ocasiones.
20.7
¿El sistema de control de acceso impide al usuario ingresar una contraseña igual, como mínimo tres veces anteriores ?
Llenado de Formato
Se deberá llenar adecuadamente el formato de clasificación de la información, de tal forma que se pueda llevar con esto el Análisis de Riesgos.
21.1
¿Se cuenta con el inventario del Proceso y Activos de Información delCFDI, debidamente requisitado?
Respaldo del llenado de información
El formato de clasificación de la información deberá ser debidamente llenado y firmado por el responsable del proceso que aplica para el manejo de losCFDI.
21.2
¿El formato de Clasificación se apega mínimo a los criterios del IFAI? ¿Fue llenado y firmado por el responsable del proceso deCFDI?
22.1 El Aplicativo, SO y BD deberán contar con Pistas de Auditoría que permitan conocer al menos quién entró, a qué hora entro y qué hizo.
22.2 22.3 22.4
Pistas de Auditoría
¿Las contraseñas de acceso incluyen al menos un caracter especial?
La contraseña deberá expirar en un máximo de 30 días, lo que forzará a teclear una nueva contraseña.
Clasificación de la Información
22
Depuración de claves de acceso de acuerdo a los movimientos registrados por el área de RH, considerando autorizaciones de áreas de Negocio.
19.8
Las contraseñas de acceso deberán tener al menos 8 caracteres y estar compuesto por al menos una mayúscula, un caracter especial y un número.
20
¿Las políticas de control de acceso son revisadas por lo menos cada 6 meses? Evidencia.
Las claves de acceso deberán estar compuestas de 8 caracteres para su adecuada administración.
Estándares para la creación de cuentas. Administración, asignación y procedimiento de claves. Revisión periódica de los accesos provistos, dando seguimiento a las desviaciones
Se requiere evidencia (formatos, manuales, otro) de las altas, bajas, cambios autorizados. Identificar claramente la solicitud, el solicitante, los roles solicitados, el autorizador y su firma o Vobo de autorización. ¿El mecanismo de control de acceso bloquea la clave al fallar mínimo en 3 intentos? ¿La clave se da de baja por inactividad mínimo en 30 días? El proceso es manual o es automático?
Bitácoras de Seguimiento y Auditoría para el Aplicativo, Sistema Operativo (SO) y Base de Datos (BD)
¿Están habilitadas las Pista de Auditoria del Aplicativo, Sistema Operativo y Base de Datos, de tal forma que se le pueda dar seguimiento a accesos de Súper Usuario y de usuarios privilegiados y con permisos de súper usuario? ¿La pista de auditoria indica quién ejecutó una acción o transacción? ¿La pista de auditoria indica la fecha y la hora de ejecución de una acción o transacción? ¿La pista de auditoria indica qué acción o transacción se ejecutó?
22 Pistas de Auditoría
Bitácoras de Seguimiento y Auditoría para el Aplicativo, Sistema Operativo (SO) y Base de Datos (BD)
El acceso a las pistas de auditoría del Aplicativo, SO y BD sólo deberá estar permitido para el usuario autorizado de auditoría y al súper usuario.
22.5
¿El acceso a las pistas de auditoría de BD están restringidas sólo al Súper usuario o al Usuario Privilegiado del Aplicativo, SO y BD?
Las pistas de Auditoría del Aplicativo, SO y BD deberán almacenar información de al menos 6 meses de antigüedad.
22.6
¿Las pistas de auditoria reflejan información de hasta 6 meses de antigüedad?
22.7 Las Pistas de Auditoría del Aplicativo, SO y BD deberán estar restringidas al acceso sólo por personal autorizado.
Encripción de contraseñas
23
Encripción
Las contraseñas de acceso deberán estar encriptadas para evitar su posible conocimiento por personal no autorizado.
22.8 22.9
Las pistas de auditoría dejan registrada la dirección IP del equipo en donde se ejecutó la acción o transacción.
23.1
¿Se encriptan las contraseñas para evitar el conocimiento de las mismas ante un acceso indebido?
23.2
Está encriptada la información clasificada como altamente sensible, como mínimo debe ser la relacionada con la información del SAT,CFDI y en general de los contribuyentes.
La información clasificada como altamente sensible, deberá Encripción de información sensible en BD, Pistas de estar encriptada para evitar su posible conocimiento por Auditoría, envío de información, páginas Web, etc. personal no autorizado. 23.3
24.1
24.2
¿Se mantiene un registro de los hashes de control de llaves, certificados y otros elementos de criptografía? Los hashes son verificados semanalmente y se mantiene registro de las revisiones mediante documentos o correos electrónicos, especificando Llaves o certificados evaluados, Hashes de control esperados, Hashes de control obtenidos.
24.3
Se generan tickets de incidente o documentación formal para el seguimiento realizado a las deviaciones, especificando las actividades seguidas para la solución.
24.4
Inspección física de la ubicación donde se encuentre el dispositivo que almacena la llave privada del certificado digital. Evaluar que no haya personal operando o transitando en la ubicación. Evaluar que se tenga registro de accesos. Evaluar que se tenga un esquema de monitoreo en dicha zona.
El acceso lógico y las operaciones en el dispositivo donde se almacena la llave privada del certificado digital que el SAT emitió al PAC debe registrarse.
24.5
Registro o bitácora de accesos lógicos al dispositivo donde se almacena la llave privada así como de las operaciones que se realizan en dicho dispositivo.
El acceso al dispositivo que contiene la llave privada del certificado emitido por el SAT debe realizarse a través de una autenticación de la identidad de la persona que accede a dicho dispositivo.
24.6
Criptografía
Se mantiene registros de los hashes de control para llaves, certificados, y otros elementos de criptografía para asegurar la integridad de los mismos.
Administración y protección de Certificados Llaves de encriptación y passphrases
¿Están encriptados los medios removibles y los equipos portátiles que contengan información clasificada o reservada para evitar su acceso ante un incidente, robo, extravío o acceso no autorizado? Inspección de los directorios y herramientas empleadas para la administración de llaves de encriptación y passphrases para confirmar que únicamente personal autorizado tiene acceso a las mismas y que se tienen controles de acceso robustos para las llaves de comunicación y certificados provistos por el SAT y por los contribuyentes.
Son resguardados los certificados, llaves de encriptación y passphrases de manera segura mediante controles de acceso, de manera que únicamente personal autorizado tiene acceso a las mismas? Evidencia.
24
¿Las pistas de auditoría en línea sólo pueden ser accedidas mediante un usuario autorizado para ello? Mostrar evidencia de este tema y hacer pruebas ¿Existe un mecanismo que deje evidencia del acceso a las pistas de auditoría del aplicativo?
La ubicación física en donde se encuentre almacenada la llave privada del certificado digital que el SAT emitió al PAC, debe encontrarse segregada. No debe haber personal operativo de forma regular. Debe mantenerse un registro de los accesos. No debe ingresar personal no monitoreado a esa zona.
NUEVO!
NUEVO!
Pruebas de autenticación de identidades al dispositivo que almacena la llave privada.
NUEVO!
La capacidad de ejecución de tareas a realizar en el dispositivo que almacena la llave privada del certificado emitido por el SAT debe ser definida basada en roles. Los roles de gestión y configuración de parámetros de seguridad deben ser asignados a personal restringido con autorización y responsabilidad claramente asignada.
24.7
Pruebas de segregación de los roles de acceso al dispositivo. Matriz con roles asignados. Documentación de asignación de responsabilidades al personal que gestiona el dispositivo y los parámetros de seguridad y cartas de dicho personal aceptando la responsabilidad y posibles consecuencias de actuación incorrecta.
NUEVO!
24.8
Revisión de las características técnicas del dispositivo que almacena la lalva privada. El dispositivo debe estar recubierto con algún material opaco y debe contar con salvaguardas que impidan que sea abierto o que invaliden la información en caso de que sea forzado.
24.9
Los parámetros críticos de seguridad deberán ser ingresados/extraídos ya sea a través de puertos físicos exclusivos para dicho propósito y separados de los demás, deben ser ingresados/extraídos en una forma encriptada (ya sea a través de dispositivos adicionales o periféricos) o ingresados/extraídos directamente del dispositivo (sin dispositivos adicionales o periféricos) a través de un procedimiento de conocimiento dividido (varios tokens o contraseñas que poseen diferentes individuos)
Ingreso de la llave privada del certificado emitido por el SAT
24.10
Debe registrarse formalmente el procedimiento de ingreso de la llave privada. Esto se realizará frente a un testigo independiente y se generará un acta en la cual los participantes firmarán que han atestiguado dicho ingreso y que la llave no fue copiada ni ha sido comprometida.
Ubicación de la llave privadad del certificado emitido por el SAT
24.11
El dispositivo que almacena la llave privada del SAT debe contar con recubrimiento especial, sensible, que prevenga que el dispositivo sea abierto, o que al ser abierto, impida el acceso a la información
NUEVO!
Administración de parámetros críticos de seguridad (tal como la llave privada) en el dispositivo que almacene dicha llave.
25.1
25
26
27
Análisis de configuración, pruebas Evaluación de la infraestructura de acuerdo a de penetración y estándares de configuración definidos análisis de vulnerabilidades
Separación de los Sistemas y Aplicativos
Configuración de Sistemas
La infraestructura deberá ser evaluada trimestralmente para asegurar que cumple con los estándares de configuración definidos y para para identificar vulnerabilidades. Dar seguimiento a las desviaciones identificadas.
Prevenir que la infraestructura y aplicaciones relacionadas con la prestación del servicio sean empleadas para otros fines, o se comparta la infraestructura, o use para propósitos ajenos al servicio.
La organización emplea infraestructura y aplicaciones exclusiva para soportar el servicio, con el objetivo de prevenir accesos a la misma por personal no relacionado con el servicio, o la explotación , modificación o extracción de información de manera intencional o no intencional.
Lineamientos de configuración base para los sistemas
Establecer lineamientos de configuración base para los sistemas que soportan la operación, especificando políticas de contraseña, privilegios de acceso, servicios autorizados, mecanismos de protección, niveles de actualización, etc.
Una vez ingresada la llave privada al dispositivo que la almacenará, ésta ya no se almacenará en ningún otro dispositivo. Informes, reportes o documentación de las evaluaciones efectuadas, pruebas y análisis.
25.2
Documentación sobre el seguimiento y acciones a tomar para mitigar las vulnerabilidades encontradas a raíz de las pruebas de vulnerabilidades y pruebas de penetración que incluyan responsable, acción a ejecutar y fecha límite así como la evidencia de la ejecución de las mismas.
25.3
Procedimientos definidos para la instalación de parches para la corrección de las vulnerabilidades, incluyendo con la definición de ventanas de tiempo para su instalación y evidencia de pruebas en ambientes de calidad antes de migrar a producción.
26.1
Inspección de la configuración de la infraestructura y aplicaciones para confirmar que la misma no se utiliza para fines ajenos a la prestación del servicio.
27.1
Evidencia de la configuración de servicios activos y justificación de cada uno de ellos.
Expiración de Sesión
El aplicativo debe realizar una administración de las sesiones, de tal manera que garantiza que las cookies de sesión cuentan con un periodo de caducidad y la sesión expira en un tiempo determinado.
27.2
El aplicativo debe contar con la característica de sesión expirada en un tiempo determinado. Presentar evidencia y el tiempo configurado.
Transferencia de Información
El aplicativo debe realizar la transferencia de información por protocolos seguros como https, en el cual se codifiquen la sesión con certificados digitales.
27.3
La transferencia de información se debe llevar a cabo por un mecanismo seguro de conexión como https. Presentar evidencia.
NUEVO!
NUEVO! NUEVO!
27
Configuración de Sistemas
Documentación de Línea base
Documentación formal y autorizada de los Baselines para la configuración a nivel sistema operativo, BD, comunicaciones, etc.
27.4
Documentación de los Base Lines de SO, BD y Comunicaciones.
Bases de Datos 28.1
28
Plataforma
Documentación e información de Plataforma de Base de Datos
Se debe documentar y explicar la plataforma de Base de datos empleada para sustentar y soportar la información del sistema deCFDI.
28.2 28.3
28.4
Indicar cuál es la plataforma de BD que se está empleando y que se cuenta con la Versión actualizada. Se cuenta con diagramas Entidad-Relación, diccionario de datos y documentación de roles y perfiles de acceso a la base de datos. Se cuenta con la documentación del proceso de actualización de parches. Se cuenta con la documentación del proceso de control de cambios y del proceso de autorización de creación de objetos, del borrado en la BD y de acceso a la información.
Evaluación de Seguridad 29
Análisis de Riesgos
30
Procesos
31
Análisis del Sistema de Gestión, sus amenazas, vulnerabilidades y Riesgos
Se deberán definir las amenazas, vulnerabilidades y riesgos, con el fin de poder llevar a cabo un análisis de riesgos adecuado.
Identificación de procesos y documentación de los mismos.
Se deberá identificar y clasificar adecuadamente el proceso de administración deCFDI.
30.1
¿El Proceso deCFDI está adecuadamente documentado? Evidencia de la documentación del proceso.
Identificación de los Activos de Información y
Se deberán tomar en cuenta los datos capturados para los Activos de Información.
31.1
Los datos capturados son los adecuados para llevar a cabo el análisis de riesgos. Evidencia y ejemplo de los datos.
Empleando la información vaciada en el formato de Clasificación de la Información, se deberá llevar a cabo el análisis de riesgos y de esta forma conocer la ausencia o carencia de controles de seguridad.
32.1
¿Se cuenta con una metodología para llevar a cabo el análisis de riesgos? Mostrar metodología y evidencia de cómo se sigue.
33.1
Los controles documentados y evaluados están claramente definidos y evaluados? Mostrar evidencia de los controles inventariados.
34.1
¿La documentación resultante del análisis de riesgos arroja resultados claros y concluyentes? Mostrar documentación de resultados.
Activos de Información documentación de los mismos.
32
Controles Actuales
Identificación de Controles Actuales y su grado de implementación.
33
Revisión de Controles
Revisión de información y evaluación del nivel de Control implementado
34
Entrega de Resultados
35
Identificación de Controles Aplicables
Controles aplicables al sistema de gestión
36
SOA
Plan de implementación de controles
Se deberá llevar a cabo una revisión de los controles existentes y evaluar el nivel de implementación. La entrega de resultados del Análisis de Riesgos deberá estar Entrega de Documento de resultados del Análisis de acompañada de la documentación que indique claramente los riesgos detectados, la ausencia de controles y el mapa de Riesgos riesgos.
Auditorías periódicas para evaluar mejoras en la seguridad
37
Se deberán identificar los controles aplicables, de tal forma que se lleve a cabo un Plan de Trabajo para la implementación y mitigación de riesgos de seguridad.
29.1
35.1
¿Está definido y documentado el catálogo de amenazas vulnerabilidades y riesgos? Evidencia de la clasificación.
¿Existe un Plan de Trabajo para mitigar riesgos a través de los resultados del análisis de Riesgos y los controles detectados? Mostrar Plan de Mitigación de Riesgos.
Se deberá generar una matriz de controles por dominio, el cual permita identificar en que parte estos deberán ser implementados, en qué parte no aplican y/o no es necesario invertir esfuerzo en su implementación.
36.1
¿Existe la matriz que indique específicamente qué controles implementar en cada Sistema de Gestión? Mostrar matriz.
El PAC deberá garantizar que se llevan a cabo auditorías semestrales para todos los controles, las auditorías deberán ser realizadas por un equipo independiente de la operación.
37.1
¿Existe registro de las evaluaciones semestrales para el mejoramiento de la seguridad a través de la implementación o mejoramiento de controles? Mostrar documentación que lo certifique.
37.2
¿Existe personal capacitado para llevar a cabo las auditorías de seguimiento? Mostrar evidencia de certificación o experiencia del personal. Las certificaciones pueden ser: CISA, CISSP, CRISK, Lead Auditor ISO27001:2005.
Se deberán llevar a cabo respaldos de Sistema Operativo, Base de Datos y del Aplicativo.
38.1
¿Se llevan a cabo respaldos periódicos de SO, BD y del Aplicativo y sus pistas de auditoría respectivas? Bitácoras de respaldos y pistas de Auditoria.
Los dispositivos de respaldo deberán estar perfectamente identificados para su fácil localización.
38.2
Los dispositivos de respaldo deben contar con el adecuado etiquetado y con los datos necesarios para su pronta localización. Al menos deberán indicar tipo de respaldo, nombre del respaldo, fecha y hora del respaldo.
Los dispositivos de respaldo deben estar adecuadamente ordenados y clasificados para su ágil utilización.
38.3
Debe existir una clasificación y orden adecuado para el acceso fácil a los dispositivos de respaldo clasificándolo al menos por fecha y hora de respaldo.
Auditorías Internas Auditorías efectivas, mediante personal autorizado El PAC deberá asegurar que el personal dedicado a las y seguimiento auditorías tiene las capacidades necesarias para evaluar de manera efectiva los controles. Seguimiento hasta su cierre.
RESGUARDO DE INFORMACIÓN Respaldos
38
Tipos de Respaldo
Documentación de tipos de respaldo a ejecutar
38
Tipos de Respaldo
Documentación de tipos de respaldo a ejecutar
Ejecución de Respaldos
39
Periodicidad
Protección de Medios.
38.4
Deben encriptarse los medios y dispositivos de almacenamiento, empleando algoritmos definidos por el SAT o mejores (AES con llaves de 256 bits o superior).
Los respaldos deberán llevarse a cabo con un período mínimo.
39.1
Los respaldos deberán realizarse diariamente como mínimo. Evidencia en bitácora, documento o similar y demostración.
Se deberá garantizar que la periodicidad de los respaldos, cubran la necesidad de restablecimiento en caso de contingencia.
39.2
¿La periodicidad de respaldo como mínimo de una semana garantiza el restablecimiento adecuado de la operación? Indicar en caso contrario cada cuándo se llevan a cabo. Contar con la evidencia de los resultados de las pruebas de restauración donde se indique que este fue exitoso
40.1
¿Las pistas de auditoría de SO, BD y Aplicativo son respaldadas mínimo cada semana? Mostrar evidencia en bitácora y visual.
40.2
Los respaldos de pistas de auditoría de SO, BD y Aplicativo deben ser resguardados en lugar seguro. Evidencia.
40.3
¿El acceso a los respaldos de pistas de auditoría de SO, BD y Aplicativo, se lleva a cabo sólo por personal autorizado? Mostrar evidencia en bitácora.
40.4
Verificar Bitácoras de acceso a los dispositivos de respaldo de pistas de auditoría del Aplicativo, SO y BD.
Garantizar restauración
40
Respaldo de Pistas de Auditoria
Se debe llevar a cabo respaldos adecuados de las pistas de auditoría que permitan dar un seguimiento puntual y exacto a actividades realizadas por Súper Usuarios, usuarios Privilegiados y en general usuarios de Sistema Operativo(SO), Base de Datos(BD) y Aplicativo
Las pistas de Auditoría deberán ser respaldadas periódicamente y almacenadas en lugar seguro para su posible revisión.
Se deberán respaldar los dispositivos de respaldo, en un lugar seguro y libre de humedad.
41.1
41.2
41
42
Resguardo
Copias
Ubicación física de los dispositivos de respaldo
Resguardo de respaldos adicionales (copias)
El control de acceso a los dispositivos de respaldo, deberá llevarse a cabo por medio de una bitácora que indique al menos qué dispositivo se utilizará, quién solicita el acceso, motivo, fecha y hora de solicitud y fecha y hora de regreso del dispositivo.
Se deberá guardar una copia en un inmueble externo al principal en donde se lleven a cabo los respaldos. Deberá existir un procedimiento para eliminación de dispositivos de respaldo, ya sea por daño, por haber cubierto su vida útil o por obsolescencia.
OTROS
41.3
¿El resguardo de dispositivos de respaldo es en un lugar seguro y de medio ambiente adecuado? Revisar y mostrar. ¿El acceso a los respaldos de pistas de auditoría de SO, BD, Aplicativo se lleva a cabo por personal autorizado? Mostrar evidencia de qué personas están autorizadas y la evidencia de sus accesos. ¿Se guarda una bitácora de acceso a los dispositivos de respaldo de pistas de auditoría de SO, BD y Aplicativo? Mostrar.
41.4
¿La bitácora de acceso a dispositivos de respaldo indicar al menos qué dispositivo se utilizará, quién solicita el acceso, motivo, fecha y hora de solicitud y fecha y hora de regreso del dispositivo? Mostrar.
42.1
¿Se guarda una copia del respaldo de pistas de auditoría de SO, BD y Aplicativo, en un lugar distinto al principal? Mostrar evidencia visual y/o en bitácora, documentación, otros.
42.2
¿Se muestra procedimiento para la eliminación de dispositivos de respaldo y la constancia de qué dispositivos se destruyen, la fecha, hora, motivo y responsable de la eliminación?
Administración de Cambios. Se han definido procedimientos de administración de cambios para las aplicaciones, infraestructura y dispositivos relacionados con el servicio. Los procedimientos definen lineamientos sobre: - Registro del total de solicitudes de cambios, especificando información sobre: tipo de cambio, detalle de los sistemas o activos afectados, objetivo del cambio, fecha estimada de implementación, pruebas para verificar la efectividad del cambio, impacto probable de la implementación del cambio, plan de retorno en caso de falla. - Evaluación del cambio, para determinar el nivel de impacto sobre la infraestructura y operaciones. - Evaluación del cambio para su categorización como cambio emergente, en caso que no pueda seguir el proceso normal de cambios debido a la urgencia e impacto de no implementarlo. - Definición y ejecución de planes de prueba para verificar la efectividad del cambio. - Descripción de las actividades para revertir el cambio, en caso que el cambio sea fallido.
43
Se deberán implementar procesos de control de cambios para toda la infraestructura, aplicaciones y dispositivos relacionados Se han implementado procedimientos para la administrar de cambios que definan las actividades y lineamientos necesarios para: - Registrar el total de las solicitudes de cambio, especificando información sobre: Detalle del cambio, sistemas afectados, objetivo, impactos, fechas estimadas de implementación. - Aprobación de los cambios dependiendo del alcance de los mismos, de los activos afectados, urgencia y nivel de impacto. - Evaluación de los cambios para determinar el nivel de impacto. - Categorización de los cambios como cambio emergente. - Definición y ejecución de planes de prueba. - Seguimiento a desviaciones en los planes de prueba. - Descripción de planes de retorno de los cambios.
43.1
Inspección documental y entrevistas para determinar si se ha implementado un procedimiento formal de cambios para todos los activos relacionados con el servicio, que cumpla con los requerimientos de: - Documentación mínima. - Aprobación. - Evaluación del nivel de impacto. - Categorización. - Definición de planes de prueba y seguimiento a desviaciones. - Definición de planes de retorno. Inspección de una muestra de cambios para asegurar que los mismos se han implementado siguiendo los puntos de control definidos en el procedimiento.
Administración de Cambios
Se realiza una evaluación inicial de los requerimientos tecnológicos requeridos previo a la implementación de la solución. La evaluación considera requerimientos de procesamiento, comunicaciones, almacenamiento, niveles de servicio requeridos, picos de actividad y planes de crecimiento en el corto y mediano plazo.
Capacidad Tecnológica. Se han definido procedimientos para la administración de la capacidad tecnológica para asegurar que se mantiene la capacidad y nivel de eficiencia de los sistemas en rangos aceptables, con base en mejores Al menos anualmente se realiza un análisis de indicadores prácticas de la industria. clave de desempeño y de tendencias de uso de los recursos tecnológicos. Los resultados se evalúan en conjunto con las expectativas de crecimiento y de demanda en el corto y mediano plazo.
44
Capacidades
Se definen planes de acción para atender desviaciones, o para cumplir con las expectativas futuras de crecimiento.
Se realiza una evaluación inicial de los requerimientos operativos para la implementación de la solución y prestación de los servicios. La evaluación considera los servicios prestados a las áreas usuarias, personal requerido para el soporte a las operaciones, y administración de la plataforma tecnológica, capacidades técnicas, y conocimientos requeridos, entre otros factores.
Capacidad Operativa. Se han definido procedimientos para administrar la capacidad operativa para asegurar que se mantiene un nivel adecuado de operación y de atención a requerimientos, con base en los SLA's acordados, Al menos anualmente se realiza un análisis de indicadores requerimientos regulatorios y retroalimentación de clave de desempeño y de tendencias de uso de los recursos las partes interesadas operativos. Los resultados se evalúan en conjunto con las expectativas de crecimiento y de demanda en el corto y mediano plazo.
Planes de acción para atender desviaciones y cumplir con las expectativas de crecimiento.
Incidencias y Problemas
44.1
Inspección documental y entrevistas para determinar cuales son los procesos que se siguen para determinar los recursos tecnológicos requeridos para implementar la solución tecnológica, considerando capacidad de las aplicaciones, infraestructura, telecomunicaciones, entre otros elementos. El análisis deberá tener en consideración los requerimientos iniciales, así como los requerimientos esperados en el corto y mediano plazo.
44.2
Inspección documental y entrevistas para conocer el procedimiento seguido para analizar las tendencias de uso de los recursos, definición de indicadores clave de desempeño, así como las actividades para analizar estas tendencias contra los objetivos de crecimiento en el corto y mediano plazo.
44.3
Inspección documental de los planes de acción para atender las desviaciones o excedentes en los requerimientos de recursos tecnológicos.
44.4
Inspección documental y entrevistas para determinar cuales son los procesos que se siguen para determinar los recursos operativos requeridos para implementar la solución tecnológica, considerando los servicios prestados a las áreas usuarias, personal requerido para el soporte a las operaciones, y administración de la plataforma tecnológica, capacidades técnicas, y conocimientos requeridos, entre otros factores.
44.5
Inspección documental y entrevistas para conocer el procedimiento seguido para analizar las tendencias de uso de los recursos, definición de indicadores clave de desempeño, así como las actividades para analizar estas tendencias contra los objetivos de crecimiento en el corto y mediano plazo.
44.6
Inspección documental de los planes de acción para atender las desviaciones o excedentes en los requerimientos de recursos operativos.
Manejo de Incidente. Se han implementado procedimientos para el registro y solución de incidentes, considerando como incidente a cualquier actividad fuera de las operaciones normales. Todos los incidentes son registrados y canalizados a través de un punto único para garantizar su tratamiento con base en los lineamientos definidos. Los procedimientos de manejo de incidentes requieren que para cada incidente se registre la siguiente información: - Fecha/hora de reporte del incidente. - Descripción del incidente. - Nivel de impacto del incidente. - Nivel de urgencia del incidente. - Tipo de incidente (redes, infraestructura, aplicativo, de seguridad, entre otros). - Estado del incidente (abierto, en solución, solucionado, cerrado). - Descripción de la solución.
45
Incidencias
Se han definido procedimientos para el escalamiento de los incidentes de acuerdo con el tipo de incidente, impacto y tiempo transcurrido desde su registro. El proceso de escalamiento se ha definido en una tabla y es aplicable a todos los incidentes.
Manejo de Incidentes de Seguridad. Se han implementado procedimientos para la identificación y seguimiento de incidentes de seguridad.
El procedimiento de notificación de incidentes es conocido y seguido por las áreas usuarias, áreas administrativas y áreas de tecnología, todos los incidentes son registrados a través de un punto único.
Registro y seguimiento a incidentes, incluyendo incidentes reportados por usuarios, personal de sistemas, entre otros.
Se han definido actividades y mecanismos para el escalamiento de incidentes con base en el tipo de incidente, impacto y tiempo transcurrido desde su registro, entre otros conceptos.
45.1
45.2
45.3
46
Problemas
Entrevistas con personal clave de áreas usuarias, áreas administrativas y áreas de tecnología para confirmar que se Inspección de una muestra de incidentes para asegurar que cuentan con la información requerida y han sido categorizados y seguidos de manera adecuada. Inspección de la tabla de escalamiento para confirmar que la misma define la siguiente información: - Tipo de incidente. - Magnitud. - Impacto. - Umbrales de tiempo. - Personal a notificar en cada umbral. Inspección de una muestra de incidentes para confirmar que se han seguido las actividades definidas en la tabla de escalamiento.
Cierre de incidentes. Los procedimientos definidos garantizan que los incidentes son cerrados una vez que han sido solucionados. No se tienen registros de incidente cerrados sin haber sido solucionados.
45.4
Registro y seguimiento a incidentes de seguridad. Se han implementado mecanismos y se cuenta con la experiencia requerida y mecanismos para identificar incidentes de seguridad. Se considera como incidente de seguridad a cualquier evento intencional o no intencional que pone en riesgo la confidencialidad, integridad o disponibilidad de los activos del servicio. 45.5 Los incidentes de seguridad deberán ser acompañados por un análisis exhaustivo por expertos para determinar el nivel de impacto y exposición generado como parte del incidente.
Se ha definido un procedimiento que regula la administración de problemas, incluyendo los siguientes puntos: - Criterios para considerar un problema. - Actividades para la determinación de las causas raíz. - Actividades para determinar los factores que propiciaron la ocurrencia del problema. - Actividades requeridas para prevenir la recurrencia del problema. - Actividades requeridas para minimizar el impacto en caso de ocurrencia. - Definición de planes de acción. - Seguimiento hasta el cierre de los planes de acción. - Cierre del problema.
La documentación relacionada con problemas por incidentes de seguridad deberá ser analizada por el SAT para obtener la aprobación de los planes de acción y de las actividades de seguimiento a los mismos.
Inspección de una muestra de incidentes para asegurar que han sido cerrados, y que su cierre se ha realizado posterior a la solución.
Inspección documental y entrevistas con el personal para determinar si se cuenta con mecanismos de monitoreo y experiencia en el personal para: - Identificación de incidentes de seguridad. - Categorización como incidente de seguridad. - Investigación del incidente por personal experto. - Notificación al SAT en el momento del incidente. - Registro y seguimiento a través de los procedimientos de manejo de incidentes. Inspección de una muestra de incidentes para confirmar si se realizó un análisis adecuado para determinar si se trataba de incidentes de seguridad. Inspección de una muestra de incidentes de seguridad para determinar si: - Se realizó un análisis exhaustivo por personal experto para determinar el impacto y nivel de exposición del incidente. - Se comunicó de manera inmediata al SAT. - Se tomaron las acciones necesarias para revertir los efectos del incidente de seguridad.
Los incidentes de seguridad deberán ser notificados en todos los casos al SAT de manera inmediata, aún cuando no se hubiera concretado o no hubiera impacto.
Manejo de Problemas. Se han implementado procedimientos para el manejo de problemas, considerando a los problemas como cualquier incidente recurrente, de seguridad o con un impacto mayor a las operaciones o activos relacionados con el servicio. Los problemas son seguidos para determinar: - Causas raíz del problema. - Factores que propiciaron la ocurrencia del problema. - Factores que pueden implementarse para prevenir la ocurrencia del problema, o para mitigar el impacto del mismo.
Inspección documental para confirmar que se ha definido un procedimiento formal de administración de incidentes que define la información requerida para el registro y seguimiento de incidentes hasta su solución.
46.1
Inspección documental y entrevistas con los responsables para determinar si se ha implementado un procedimiento para el manejo de problemas que considere los lineamientos para la identificación, determinación de causas raíz, factores relacionados, acciones de mitigación, definición de planes de acción y seguimiento de los mismos hasta su cierre.
46.2
Inspección documental y entrevistas con los responsables para determinar si los problemas relacionados con incidentes de seguridad son comunicados al SAT previo a la aprobación final de los planes de acción y seguimiento de los mismos.
47
Manejo de Licencias
Uso y auditoría de licencias. Se deberá permitir la auditoría por parte del proveedor, del SAT o cualquiera que este defina para verificar el adecuado manejo de las licencias provistas por el SAT, para los fines que este convenga.
El PAC deberá garantizar que las licencias de software provistas por el SAT son utilizadas para los fines acordados, y deberá permitir la auditoría por parte del SAT, el proveedor, o cualquiera que estos definan para verificar el uso autorizado de las mismas.
47.1
Inspección documental y/o entrevistas para determinar si las licencias provistas están siendo empleadas para los fines acordados.
ELIMINADO!
Controles en la aplicación
Se deberán identificar, entender y verificar el cumplimiento con las políticas y regulaciones de seguridad aplicables. - El PAC deberá implementar los controles y mecanismos requeridos para proteger y hacer buen uso de la información personal a la que tuviera acceso, así como asegurar el apego con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y con otras legislaciones aplicables. - El PAC deberá especificar mediante un documento firmado por su representante legal que: - Conoce la "Ley Federal de Protección de Datos Personales en Posesión de los Particulares" , así como las legislaciones aplicables en materia de protección de datos. - Reconoce su responsabilidad para verificar el cumplimiento con las leyes de protección de datos. - Reconoce que será sujeto de sanciones por el incumplimiento de las leyes, con base en los lineamientos definidos en las mismas. - Exime de cualquier responsabilidad al SAT, derivado del acceso a la información relacionada con el servicio que prestará, incluyendo los servicios gratuitos y con costo.
Se deberán identificar y eliminar el uso de componentes compartidos. - El PAC deberá asegurar que toda la infraestructura y sistemas relacionados con el servicio son de uso exclusivo, no son utilizados para otros fines, y están separados física y lógicamente .
Se deberá especificar un documento denominado "Flujo de Datos de la Solución", en el que se especifique el flujo de datos e información de los componentes internos y externos. El flujo de datos deberá evitar que los datos e información Arquitectura de Seguridad. La solución implementada por el PAC deberá cubrir sean intercambiados con componentes no administrados por el PAC bajo los lineamientos de seguridad necesarios los siguientes controles, independientemente del para proteger la información. Para definir el documento tipo de solución o arquitectura implementada. "Flujo de Datos de la Solución" se deberán realizar las siguientes actividades. - Se deberán identificar todos los componentes relacionados con el servicio, incluyendo aplicaciones, e infraestructura empleada para el almacenamiento, procesamiento, transmisión y recepción de datos. Se deberá definir un diagrama del flujo de información que deberá mostrar todos los componentes relacionados con el servicio, incluyendo aplicaciones, servidores, bases de datos, dispositivos de almacenamiento, impresoras, reporteadores, entre otros. Adicionalmente se deberán especificar a detalle los siguientes datos para cada componente: - Marca/Modelo del componente. - Tipo de componente. - Información sobre el componente, versionamiento y otra información. - Propósito del componente. - Componentes con los que intercambia información.
48.1
Inspección documental, entrevistas y revisión de archivos de configuración para asegurar que se han cumplido los criterios de revisión. Inspección de los acuerdos para asegurar que el PAC ha entendido y ha asumido la responsabilidad sobre el cumplimiento con los lineamientos y definiciones definidos en las legislaciones aplicables.
48.2
Inspección documental, entrevistas y revisión de archivos de configuración para asegurar que los componentes de la solución son de uso exclusivo para este fin.
Inspección documental, entrevistas y revisión de archivos de configuración para asegurar que el documento "Flujo de Datos de la Solución" es completo y veraz. 48.3 Verificar que el flujo de datos de la solución no interactúa con componentes que no son administrados bajo los lineamientos de seguridad.
Se deberá especificar un documento denominado "Interconexiones de la Solución" en el que se identifiquen las interconexiones en el ambiente de aplicaciones. No se deberá tener conexiones con sistemas externos al PAC, o con sistemas que no sean administrados bajo los lineamientos de seguridad requeridos para proteger la información. El documento deberá especificar: - Todas las conexiones con la intranet, internet, conexiones con socios de negocio, entre otros puntos, así como los controles de acceso.
48
Definición de controles de acceso, autenticación y autorización, . - Se deberá identificar en un diagrama las direcciones IP y puertos requeridos por cada componente para el adecuado funcionamiento, la infraestructura de red y sistemas deberán configurarse para permitir el acceso a través de las direcciones y puertos especificados.
Seguridad en la aplicación Encriptación. La solución implementada deberá cubrir los siguientes controles sobre encriptación, independientemente del tipo de solución o arquitectura implementada.
Se deberán establecer mecanismos de encriptación tales como SSL/TLS para las conexiones. Se deberá asegurar que el trafico no encriptado no contiene información sensible, por ejemplo páginas con áreas http y https.
Control de acceso. La solución implementada deberá cumplir con los siguientes controles sobre controles de acceso, independientemente del tipo de solución o arquitectura implementada.
Definición de controles de acceso a los recursos, y funciones de la solución. Se deberán tener niveles de acceso en la solución implementada, los accesos se restringirán al mínimo nivel requerido para el adecuado funcionamiento de la solución, y deberán considerar las funciones operativas y administrativas.
48.4
Inspección documental, entrevistas y revisión de archivos de configuración para asegurar que el documento "Interconexiones de la Solución" es completo, actualizado y veraz. Verificar que el flujo de datos de la solución no interactúa con componentes externos o que no son administrados bajo los lineamientos de seguridad.
48.5
Inspección documental, entrevistas y revisión de archivos de configuración para asegurar que se han definido las direcciones IP y puertos requeridos para el adecuado funcionamiento de la aplicación. Verificar los mecanismos de control de accesos para asegurar que los mismos se han configurado con base en los requerimientos de acceso.
48.6
Inspección documental, entrevistas y revisión de archivos de configuración para asegurar que las conexiones con la infraestructura se realizan a través de medios segur0s tales como SSL/TLS. Verificar que el tráfico no encriptado no contiene información sensible.
48.7
Inspección documental, entrevistas y revisión de archivos de configuración para asegurar que se han definido niveles de acceso a los recursos, y que los niveles de acceso son otorgados al personal, con base en los requerimientos de acceso. Inspección de los niveles de acceso otorgados para asegurar que los mismos se otorgan únicamente al personal con base en el mínimo privilegio requerido.
Las entradas de datos por usuarios y otras aplicaciones deberán ser validadas para confirmar que no contienen sentencias o valores no permitidos. Las validaciones deberán ser realizadas a través de controles del lado del servidor, y no a través de validaciones a nivel cliente tales como java script. Se deberán implementar los siguientes tipos de validaciones:
Validación de entradas. La solución implementada deberá cumplir con los siguientes controles sobre validación de entradas de datos, independientemente del tipo de solución o arquitectura implementada.
- Verificaciones de Integridad. Para validar que los datos no han sido modificados al viajar desde el servidor al navegador de los usuarios y de regreso, o que los montos de la transacción origen generada por el usuario se conservan hasta su registro final en el servidor, así como en cualquier transacción en que la información viaje a otros sistemas.
48.8
Inspección documental, entrevistas, revisión de archivos de configuración y pruebas de entrada de datos para asegurar que se han implementado mecanismos para validar los datos de entrada, previniendo el uso no adecuado de datos de entrada, pérdida de integridad en la transportación de datos, y uso de datos no reales.
48.9
Inspección documental, entrevistas y revisión de archivos de salida para asegurar que se han implementado mecanismos para la adecuada codificación de los datos de salida, para prevenir la inadecuada interpretación o ejecución de instrucciones.
- Validación. Para asegurar que los datos tienen la sintaxis correcta, con los caracteres esperados y con la longitud definida. Se deberán implementar controles de validación en la capa web o de presentación y se deberá verificar que no existan scripts o secuencias no permitidas. - Reglas de negocio. Para asegurar que los datos de entrada tienen sentido.
Codificación de salidas. La solución implementada deberá cumplir con los siguientes controles de codificación de salidas, independientemente del tipo de solución o arquitectura implementada.
Codificación de salidas. Las salidas de información deberán ser codificadas en un formato correcto, para prevenir que puedan ser interpretadas como directivas o instrucciones en el contexto de la salida. Deberán considerarse caracteres especiales, tales como ",',\n,\x0, u otros.
Criptografía. La solución implementada deberá cumplir con los siguientes controles de criptografía, independientemente del tipo de solución o arquitectura implementada. Los mecanismos de criptografía deberán estar alineados a mejores estándares de seguridad y deberán prevenir el descifrado de llaves.
Criptografía. Se deberán implementar mecanismos de criptografía para soportar las siguientes funcionalidades: - Autenticación de los clientes y PAC. - No repudiación de las transacciones.
Manejo de logs, errores y registro. La solución deberá contar con mecanismos para el manejo de errores y excepciones, asegurando que: - Los mensajes de error mostrados por la aplicación no deberán proveer información sensitiva. - Las excepciones no proveen información sensitiva a los usuarios de la aplicación.
Manejo de logs, errores y registro. La solución implementada deberá cumplir con los Se deberán registrar al menos los siguientes eventos: siguientes controles sobre manejo de errores, - Acceso directo a datos. Especificando quién accedió, qué excepciones, logs, bitácoras y registro de eventos, datos accedió y el timestamp. independientemente de la solución implementada.. - Escritura o modificación de datos. Especificando quién realizó la acción, que hizo (agregar o modificar datos), qué datos accedió, y el timestamp. - Escritura o modificación de archivos de configuración. - Actividades administrativas como modificación de parámetros, creación de usuarios, entre otros.
48.10
Inspección documental, entrevistas, revisión de archivos de configuración y pruebas de acceso a la aplicación para asegurar que se han implementado mecanismos de criptografía para asegurar: - La autenticación de los clientes y del PAC. - La autenticación del PAC con el SAT. - No repudio de transacciones.
48.11
Inspección documental, entrevistas, revisión de archivos de configuración y pruebas de uso de la aplicación para asegurar que se han implementado mecanismos para el adecuado manejo de excepciones y errores, así como la divulgación de información sensible a través de los mensajes de error.
48.12
Inspección documental, entrevistas, revisión de archivos de configuración y de trazas de auditoría para asegurar que las mismas se han configurado para registrar información sobre eventos relevantes.
- Intentos de acceso (exitosos o fallidos) a recursos o funciones.
VALIDACIÓN TECNOLÓGICA
A
Declaración de namespaces
Declaración de namespaces
Verificar la correcta definición de namespaces, haciendo la referencia a la ruta publicada por el SAT en donde se encuentra el esquema de XSD. (Referencia Anexo 20)
A.1
Revisión de la correcta declaración de los namespaces del CFDI conforme al Anexo 20 en cada uno de los rubros aplicables
B
Declaración de Addenda y sus namespaces
Declaración de Addenda y namespaces
Si se requiere utilizar esta funcionalidad, se deberá definir el nuevo namespace dentro del nodo Comprobante y publicar la ruta del esquema XSD para la validación
B.1
Revisión y validación de la integración del Timbre Fiscal Digital y la addenda cuando esta aplique, con sus namespaces conforme al Anexo 20
C
Validación de Datos requeridos
Validación de Datos requeridos
Validación de los campos obligatorios del CFDI que cumplan con el esquema de datos
C.1
Validación sintáctica correcta del esquema de datos establecido.
D
Utilización de Utilización de caracteres especiales y caracteres especiales y secuencias de escape secuencias de escape
Utilización de caracteres especiales y secuencias de escape Generar un CFDI que contenga caracteres especiales y secuencias de escape
D.1
Se deberá representar correctamente dichos caracteres codificados en UTF-8 en la factura y en la generación de la cadena original, así como en la representación impresa del CFDI.
E
Caracteres en blanco, Caracteres en blanco, tabuladores o tabuladores o retornos retornos de carro de carro
Generar un CFDI con 2 o más caracteres en blanco, tabuladores y retornos de carro
E.1
Se deberán remplazar todos los tabuladores, retornos de carro y saltos de línea por un espacios en blanco (toda secuencia de caracteres en blanco intermedias se sustituyen por un único carácter en blanco) Anexo 20.
F
G
H
I
J
K
Sellado conforme a la cadena original para el CFDI y para el Timbre Fiscal Digital
Verificación de la validación de cada comprobante
Verificación del correcto sellado conforme a la cadena original para el CFDI y para el Validación criptográfica de los sellos Timbre Fiscal Digital
Verificación de la validación de cada Cumplir con todas las validaciones necesarias para comprobante para la emisión de un timbre la emisión de un timbre
Cumplimiento con requisitos técnicos y funcionales, que el cliente sea fácil de usar y cuente con una interface amigable. Revisión documental de manuales
Cliente Gratuito
Cumplimiento del cliente gratuito con los estándares CFDI emitidos por el SAT. (Anexo 20 y Matriz de Controles)
Validación de flujos
Validación de la creación de un CFDI desde Cumplimiento del paso por cada componente que el contribuyente hasta su almacenamiento integre el servicio de punta a punta. Otorgar al en el SAT SAT usuarios para realizar pruebas
Conexión Remota
Verificación de la aplicación por medio de La conexión Remota debe permitir el acceso una conexión remota desde la Red del SAT
Manuales de Usuario
Los manuales deben integrar instrucciones claras Entrega de Manuales de Usuario para una para usuario, de atención a usuario y de atención mejor Administración a usuario del SAT
F.1
El correcto sellado conforme a la cadena original (En este proceso se realizan las dos validaciones criptográficas, aplicables al CFDI y al Timbre del PAC)
G.1
1. Que cumpla la estructura XML (XSD y complementos aplicables) 2. Que cumpla con el estándar de XML (Conforme al W3C) 3. Que el CSD del Emisor corresponda al RFC que viene como Emisor en el Comprobante 4. Que el CSD del Emisor haya sido firmado por uno de los Certificados de Autoridad de SAT 5. que la llave utilizada para sellar corresponda a un CSD (no de FIEL) 6. que el CSD del Emisor no haya sido revocado, utilizando la lista de CSD 7. que el sello del Emisor sea válido 8. Que la fecha de emisión esté dentro de la vigencia del CSD del Emisor 9. Que exista el RFC del emisor conforme al régimen autorizado (Lista de validación de régimen) 10. que el rango de la fecha de generación no sea mayor a 72 horas para la emisión del timbre 11. que la fecha de emisión sea posterior al 01 de Enero 2011 12. que no contenga un timbre previo 13. que el PAC no haya timbrado previamente dicho Comprobante La previa validación de la vigencia de los certificados usados en el sellado delCFDI
H.1
Validar que el cliente gratuito cumple con los requisitos técnicos emitidos por el SAT: Verificar que el cliente gratuito tenga las funcionalidades de autenticación de usuarios, administración de comprobantes emitidos, creación de representación impresa. Verificar que el cliente gratuito es multiplataforma y tecnológicamente neutral. Revisión de manuales de usuario, de atención a usuarios y manual de pruebas para el SAT
I.1
Verificar que el servicio ofrecido desde el cliente gratuito y que al prestar la certificación (timbrado) a terceros, se cumpla con la entrega del CFDI al SAT y el envío del Timbre Fiscal Digital al cliente que lo genere
J.1
Realizar una conexión remota exitosa al aplicativo del Proveedor y realizar pruebas conforme a los manuales de usuario y usuario para el SAT entregados . (generación deCFDI, administración de CFDI, impresión, etc.)
K.1
El manual de usuario debe contener un índice y los puntos que describan los pasos a manera de guía para hacer uso del servicio y sus funcionalidades
NUEVO!
NUEVO!
K
L
Manuales de Usuario
Confidencialidad y Niveles de Servicio
Los manuales deben integrar instrucciones claras Entrega de Manuales de Usuario para una para usuario, de atención a usuario y de atención mejor Administración a usuario del SAT
Documentos de Control en los cuales se establezca y especifique, los acuerdos de Servicio y Confidencialidad
K.2
El manual de atención a usuario debe contener un índice y los puntos donde se informe al usuario las formas de contacto y resolución de problemas con el servicio y sus funcionalidades
K.3
El manual de usuario SAT debe contener un índice y los puntos que describan los pasos para que el SAT realice las pruebas remotas o en sitio
L.1
Mostrar el Documento de Acuerdo de Niveles de Servicio (SLA). En particular para la Aplicación Gratuita se debe cumplir con lo publicado en la página de internet respecto a la funcionalidad y servicios respectivos
L.2
Mostrar el Documento de Convenio de Confidencialidad, mediante el cual el Proveedor Autorizado se compromete a hacer buen uso de la información del Contribuyente.
Se deberán mostrar los documentos de Acuerdos de Niveles de Servicio (SLA) y de Convenio de Confidencialidad, entre el Proveedor Autorizado y el Contribuyente
El aspirante debe documentar todo el personal que interviene en el proceso de CFDI y notificar al SAT cuando existan cambios.
Nombre y Firma del Representante Legal