ID

rea de Control Sub-rea de Control Control

rea de control: Postura de la Empresa sobre la Seguridad de la Informacin

Entendimiento del negocio

Liderazgo de la Alta Direccin

Liderazgo de la Alta Direccin

Estructura organizacional

8
 9
Gestin de riesgos

10

11
Objetivos y competencias

12

13

Comunicacin

14

rea de control: Operacin de la Seguridad de la Informacin en la empresa

Operacin de la seguridad 15

rea de control: Evaluacin del rendimiento de la Seguridad de la Informacin en la empresa

 16

Monitoreo y auditora
17

Clasifcacin de la Informacin

18

19

20

21

22

Personal Interno 23

24

Terminacin del Empleo

25

26

27
Gestin de los Activos
28
29

30
Seguridad Fsica

31
 32

Manejo de Incidentes y Problemas

33

Monitoreo de Seguridad 34

35
BCP

36

37
Gestin de la Capacidad
38

39
DRP
40

41

Gestin de cuentas 42

43

44
45

46

47
Seguridad Fsica
 Seguridad Fsica

48

49
Controles Ambientales 50
51

52
Servicios de Soporte

53
54

Comunicaciones 55

56

Lneas Base de Seguridad (Endurecimiento y 57

Actualizacin)

58
59

60

Respaldos
61
 Respaldos

62

63

Criptografa
64

65
Pruebas de Seguridad
66
Proteccin Contra Cdigo Malicioso 67
68
Separacin de Ambientes
69

70

71

Seguridad en Aplicativo
 Seguridad en Aplicativo

72

73
Acceso a base de datos 74
Servidor de tiempo 75

76

77

Encripcin de Datos
 78
Encripcin de Datos

79

80

81

Consulta de informacin
 Consulta de informacin

82

83

Cumplimiento Legal y Regulatorio

Cumplimiento con Leyes y Regulaciones 84

Aplicables
 Control

Contexto del negocio en donde ste pretende alcanzar

sus objetivos.

Requerimientos de negocio de los distintos

participantes (internas y externas)

Definir alcance de los objetivos y procesos de negocio.

Liderazgo y compromiso

Poltica de seguridad de la informacin de alto nivel

Polticas especificas de seguridad de la informacin

Roles, responsabilidades y autoridad con respecto a la

seguridad de la informacin.

Marco del trabajo seleccionado para la gestin de

riesgos de seguridad de la informacin.
 Metodologa para la gestin de riesgos

Ejecucin de los procesos de gestin de riesgos.

Objetivos de seguridad de la informacin

Competencias

Gestin de comunicacin de seguridad de la

informacin con entidades internas y externas.

Concientizacin

Operacin

n en la empresa
Monitoreo, medicin, anlisis y evaluacin.

Auditoras realizadas mediante personal autorizado y

seguimiento

Acuerdos de Confidencialidad

Contacto con las Autoridades

Contacto con Grupos de Inters Especial

Poltica de Clasificacin de la Informacin

Etiquetado y Manejo de la Informacin

Seleccin del Personal

Eliminacin de Derechos de Acceso

Devolucin de Activos

Responsabilidades del personal dado de baja

Inventario de Activos

Propiedad de los activos

Uso aceptable de activos

Permetro de Seguridad Fsica

Controles de Entrada
 Incidentes y Problemas

Notificacin al SAT

Definicin de Eventos de Seguridad

Plan de Continuidad del Negocio (BCP)

Pruebas de BCP

Capacidad Tecnolgica

Capacidad Operativa

Plan de Recuperacin de Desastres

Pruebas del DRP

Altas, Bajas y Cambios de Accesos de Usuarios

Gestin de Privilegios

Gestin de Contraseas de Usuarios

Revisin de Permisos
Ubicacin del Centro de Datos

Control de Accesos Fsicos

Vigilancia y Monitoreo
Sealizacin

Medidas contra Incendios

Aire Acondicionado
Medidas contra Inundaciones

Instalacin Elctrica

Planes y Contratos de Mantenimiento

Prevencin y Deteccin de Intrusos

Proteccin Perimetral

Segmentacin de Redes

Lneas Base de Seguridad

Actualizaciones
Respaldos

Pruebas de Respaldos

Proteccin de Medios de Respaldo

Destruccin o Borrado

Criptografa en servicios expuestos

Proteccin de Llaves y Certificados

Pruebas de Seguridad
Seguimiento a hallazgos de pruebas de Seguridad
Proteccin contra Cdigo Malicioso
Separacin de Ambientes
Aislamiento de informacin

Documentacin

Control de Cambios
Bitcoras

Expiracin de sesin por inactividad

Procedimiento de acceso a la base de datos
NTP

Encripcin de Datos de los Contribuyentes

Implementar controles de validacin de integridad de

datos
Implementar controles de validacin de seguridad de la
aplicacin.

Implementar controles de validacin de seguridad de

datos para el flujo de la aplicacin.

La consulta de la informacin ser para uso exclusivo

del titular del documento digital.

Deber mantenerse y registrarse los niveles de servicio

Implementar un medio de consulta para el SAT, se
deber de poder acceder a consultar las bitcoras.

Prevencin de Perdida de la Informacin

Conocimiento de Leyes y Regulaciones Aplicables

 Matriz de Controles

Parmetros internos y externos del ambiente PCRDD, establecer el alcance y criterios de riesgos.

Se espera un documento donde se identifique el contexto donde el PCRDD se va a desenvolver, los factores que pueden afecta

Requerimientos de negocio de los distintos participantes, involucrados en el proceso de prestacin de servicios. Ej. Gobierno, I

Se espera un documento en donde se especifique qu requerimientos existen para el negocio pueda operar.

1. Proceso documentado del negocio.

2. Alcance detallado del proceso.
3. Objetivos, indicadores claves de cumplimiento y mtricas.
4. Entradas y salidas del proceso. (Diagrama)
5. Roles, responsabilidades y competencias del personal que interviene en el proceso.
6. Recursos que intervienen en la ejecucin del proceso. (organigrama)
7. Tareas que se ejecutan en el proceso.
8. Indicadores y mtricas que demuestren que el proceso se realiza de forma eficiente.
9. Estndares, normas o buenas prcticas al que esta alineado el proceso.
10. Monitoreo y evaluacin del proceso.

1. Se debe de tener objetivos y una poltica de seguridad de la informacin de alto nivel compatible con la estrategia de negoc
2. Asegurar que los requerimientos de la seguridad de la informacin estn integrados a los procesos organizacionales relacion
3. Asegurar que se proporcionen los recursos requeridos para mantener la seguridad de la informacin del negocio.
4. Comunicar en forma efectiva la importancia de mantener los niveles adecuados de seguridad de informacin y se conforme
5. Asegurar que los requerimientos de seguridad de la informacin alcanza sus objetivos.
6. Dirigir y liderar los roles gerenciales para contribuir a la efectividad en el cumplimiento de los requerimientos de seguridad y

1. Anlisis del ambiente actual y pronosticado de amenazas a la seguridad de la informacin.

2. Conceptos de seguridad de la informacin, principios y gobernanza que se le va a dar.
3. Objetivos de seguridad de la informacin con respecto al negocio.
4. Atencin a desviaciones y exclusiones.
5. La poltica debe de estar firmada y comunicada por la alta direccin.
1. Poltica de seguridad de la informacin. - Contiene los lineamientos generales de las polticas de informacin.
2. Poltica de la organizacin de la seguridad de la informacin.
Contiene los lineamientos bajo los cuales se rige la seguridad de la informacin.
3. Poltica para seguridad de los recursos humanos. - Polticas relacionadas a la administracin del recurso humano.
4.Poltica de gestin de activos. - Polticas que definirn el proceso con lo cual se gestionarn los activos.
5. Poltica de control de accesos. - Poltica que detalla el acceso a las diferentes instalaciones.
6. Poltica de criptografa. - Poltica de uso de criptografa en aplicaciones y servicios.
7. Poltica de seguridad fsica y ambiental. - Polticas que rigen la seguridad fsica y ambiental de las distintas instalaciones.
8. Poltica de seguridad en las operaciones. - Polticas con las consideraciones de seguridad para las operaciones diarias.
9. Poltica de seguridad en las comunicaciones. - Polticas que rigen las comunicaciones para los activos que participan en el pr
10. Poltica para la adquisicin, desarrollo y mantenimiento de sistemas
Las polticas que tienen impacto en la operacin, los nuevos sistemas y su impacto en los sistemas.
11. Poltica de relaciones con los proveedores.
Las polticas que rigen el trato con los proveedores as como las implicaciones de seguridad que se deben de considerar.
12. Poltica para la gestin de incidentes de seguridad de la informacin
Poltica que regir la gestin del incidente, desde que se presenta el incidente.
13. Poltica para la gestin de los aspectos de seguridad de la informacin en la continuidad de negocio.
Poltica con las consideraciones que se tomarn para el desarrollo del BCP.
14. Poltica para el cumplimiento. - Reglas que se van a tomar en cuenta para el seguimiento y cumplimiento de las normativa
'15. Poltica de uso de contraseas.
La empresa debe contar con una poltica de uso de contraseas, donde se especifique la responsabilidad de los usuarios en el
16. Poltica de equipo desatendido.
La empresa debe contar con una poltica de equipo desatendido, donde se especifique los requerimientos de seguridad para e
17. Poltica de escritorio limpio.
La empresa debe contar con una poltica de Escritorio limpio, donde se especifiquen los requerimientos de seguridad para los
18. Poltica de control de accesos.
La empresa debe tener una poltica y procedimientos formales de Control de Accesos que aplique por lo menos a todos los acti
*Las polticas debern ser revisadas como mnimo anualmente, exceptuando aquellas que se debern revisar con mayor antela

Se debe de tener un responsiva firmada especifica para el rol y responsabilidades de cada elemento que va a participar en la p

Debe de considerar por lo menos tipo de documento, rea, fecha, nombre, puesto, descripcin, texto que identifique a que inf

Gestin de administracin del riesgo:

1.-Diseo o eleccin del marco para administrar el riesgo.
2.-Implementar la administracin de riesgos.
3.-Monitorear y revisar el marco de trabajo.
4.-Mejora continua del marco de trabajos.

* Lo anterior es enunciativo ms no limitativo.

1. Nivel de riesgo aceptable.
2.Proceso de valoracin de riesgos:
2.1 Identificacin de riesgos.
2.2 Anlisis de riesgos.
2.3 Evaluacin de riesgos.
3. Proceso de tratamiento de riesgo.
3.1 Seleccin de tipo de tratamiento con justificacin.
3.2 Declaracin de aplicabilidad de los controles de seguridad de la informacin.
3.2.1 Determinar la aplicacin o no de los controles as como las razones para su aplicacin o no aplicacin
3.2.2 Determinar si el control esta desplegado, su efectividad o en vas y su plan de despliegue correspondiente.
3.3 Plan de implementacin de controles.

1. Valoracin del clculo del nivel del riesgo.

2. Trazabilidad de la gestin del riesgo.

1. Deben estar alineados con la poltica de TI.

2. Debe de ser medible.
3. Deben de tomar en cuenta los requerimientos de seguridad de la informacin, resultado del anlisis y tratamiento del riesgo
4. Debe de estar comunicado en la organizacin.
5. Debe de estar actualizado.
6. Plan de trabajo para cumplir los objetivos. (Los siguientes numerales son enunciativos ms no limitativos)
6.1 Qu es lo que se va a hacer?
6.2 Qu recursos son requeridos?
6.3 Quin va a ser responsable?
6.4 Cundo se va a completar?
6.5 Cmo se va a evaluar los resultados?

1. Las personas que participan en los servicios del negocio o son encargados de la seguridad de la informacin debern tener l
2. Plan de capacitacin o entrenamiento para alcanzar o retener las competencias requeridas para desempear las funciones.

La organizacin debe de determinar las necesidades de comunicacin interna y externa relevante para la administracin del sis
1. Qu es lo que se debe de comunicar?.
2. Cundo se debe de comunicar?.
3. A quin se le debe de comunicar?.
4. Quin lo debe de comunicar?.
5. Los procesos que pueden ser afectados por la comunicacin.

El personal que este participando debe de tener conocimiento de:

1. La poltica de seguridad de la informacin
2. Su participacin para la efectividad de la seguridad de la informacin y sus beneficios.
3. Las implicaciones de no cumplir con los requerimientos de la seguridad de la informacin.
4. Las sanciones internas a las que se haran acreedores en caso de no cumplir con alguna de las polticas de seguridad de la in

* Los puntos son enunciativos ms no limitativos.

Planear, implementar y controlar los requerimientos y objetivos de seguridad de informacin. Debe de considerar el control de

Los proveedores que ofrezcan servicios al PCRDD debern estar capacitados, conocer y alinearse a las polticas de seguridad de
Portal del SAT.
La organizacin deber evaluar si el desempeo y efectividad de su servicio y la seguridad se encuentran acorde a sus polticas
1. Determinar que se debe de monitorear y medir.
2. Determinar qu mtodos se van a utilizar para monitorear, medir, analizar y evaluar.
3. Determinar cundo se deben de monitorear y medir.
4. Determinar quin debe de monitorear y medir.
5. Determinar cundo se revisaran los resultados de monitoreo.
6. Quin deber realizar el anlisis y evaluacin de estos resultados.
7. Quin detonar y dar seguimiento a las acciones correctivas.

* Se debe de considerar el servicio ofrecido al contribuyente y su operacin interna.

La organizacin debe realizar auditorias internas por personal interno o externo con las credenciales adecuadas para la revisin

La auditora evaluar el cumplimiento de los objetivos o requerimientos de seguridad de la informacin que se hayan trazado,

Se deber revisar el cumplimiento de la matriz presente.

Se deber planear, establecer e implementar un plan de auditora, que incluya frecuencia, seguimiento del resultado de las aud

La empresa debe tener acuerdos de confidencialidad y/o acuerdos de no divulgacin firmados por la empresa para con el SAT
el desempeo de sus actividades, en caso de que deje de laborar en la empresa considerar un periodo posterior en el cual ten

La empresa debe contar con procedimientos formales para mantener contacto y permitir investigaciones por parte de las auto

La empresa debe estar en contacto con grupos especializados en seguridad y/o asociaciones profesionales.
La empresa debe contar con una poltica y procedimientos formales para la clasificacin de la informacin de acuerdo a su rele

*Como mnimo se deber considerar lo establecido en la LFPDPPP y el artculo 69 del CFF.

La empresa debe contar con procedimientos formales para etiquetar y manejar la informacin tanto en formato electrnico co

Se debe llevar a cabo la verificacin de antecedentes de todos los candidatos a puestos internos de la empresa.

La empresa debe contar con procedimientos para llevar a cabo la eliminacin de accesos lgicos y fsicos en el personal interno

La empresa debe contar con un procedimiento para la devolucin de los activos que el personal tuvo asignado mientras labora

Proceso de sanitizacin de la informacin en los equipos.

Se deben revisar los contratos, clusulas y acuerdos de confidencialidad para garantizar que el personal dado de baja conserva

Todos los activos deben estar claramente identificados. Se debe elaborar y mantener un inventario actualizado de todos los ac

Toda la informacin y los activos asociados con los medios de procesamiento de la informacin deben ser propiedad (respons
La empresa debe contar con una poltica y procedimientos para identificar, documentar e implementar las reglas para el uso ac

Se deben utilizar permetros de seguridad (barreras tales como paredes y puertas de ingreso controlado, policas o recepcionis

Se deben proteger las reas seguras mediante controles de entrada apropiados para asegurar que slo se permita acceso al pe
- Identificacin de Incidentes y Problemas
- Registro de Incidentes y Problemas (indicando tipo, clasificacin, diagnstico)
- Notificacin y Escalacin de Incidentes y Problemas
La empresa debe contar con procedimientos de notificacin al SAT en caso de Incidentes o problemas que puedan compromet

La empresa debe definir aquellos eventos de seguridad que van a monitorear, de acuerdo a su anlisis de riesgos, sin embargo
- Uso de cuentas privilegiadas.
- Acceso a informacin con clasificacin alta de confidencialidad.
- Comportamiento anormal de los equipos.

La empresa debe contar con un BCP documentado y aprobado.

El BCP debe incluir el proceso de PCRDD, incluyendo como mnimo:

Identificacin de los activos que le dan soporte al proceso.

Requerimientos de procesamiento, personal, informacin y todo lo necesario para garantizar la continuidad del servicio de PCR

La empresa debe contar con un plan de ejecucin de pruebas del BCP por lo menos cada 12 meses.
Se debe planear, monitorear, y ajustar el uso de recursos tecnolgicos (software, equipos, comunicaciones, etc) para asegurar
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.
Se debe planear, monitorear, y ajustar el uso de recursos operativos (personal, herramientas, espacios) para asegurar el desem
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.

La empresa debe contar con un plan de recuperacin de desastres para su centro de datos que incluya por lo menos los activo
La empresa debe contar con un plan de pruebas del DRP.

La empresa debe documentar procedimientos formales para las Altas, Bajas y Cambios de accesos de usuarios, que incluyan co
- Bloqueo de las cuentas por intentos fallidos de autenticacin.
- Bloqueo de cuentas por periodo de inactividad.

Los accesos remotos slo se debern proporcionar bajo circunstancias de excepcin y con un estricto proceso de autorizacione

La empresa debe contar con procedimientos formales para restringir y controlar la asignacin y uso de los privilegios. Debe exi
La empresa debe contar con procedimientos formales de asignacin de contraseas, los procedimientos deben contar por lo m

- Reglas para la creacin de contraseas (longitud mnima, histrico, caracteres permitidos, etc.).
- Las contraseas se deben encriptar en todos los activos que dan soporte al proceso de PCRDD.
La empresa debe realizar peridicamente (por lo menos cada 6 meses) una revisin de los usuarios existentes en los sistemas d
El centro de datos debe estar asentado en lugares libres de altos riesgos, por lo menos a 100 m de lugares como gasolineras, ga
El centro de datos debe estar protegido por un permetro de acceso fsico controlado, controles de acceso automatizados y pro
El personal que acceda al centro de datos no deber introducir medios de almacenamiento extrables sin autorizacin.
Las bitcoras de acceso debern resguardarse en un lugar seguro.

El centro de datos debe contar personal de vigilancia las 24 hrs y un sistema de monitoreo de las instalaciones (CCTV, etc).
El sistema de monitoreo debe almacenar los videos de vigilancia con historial de por lo menos 30 das y almacenarlos en un lu

El personal debe estar debidamente capacitado y contar con las herramientas necesarias para responder en caso de emergenc
Las instalaciones deben contar con sealizacin que indique claramente:

- reas de acceso restringido.

- Rutas de evacuacin.
- Ubicacin del equipo de emergencia.

El centro de datos debe contar con medidas de proteccin contra incendios

El centro de datos debe contar con un sistema de aire acondicionado
El centro de datos debe contar con medidas de proteccin contra inundaciones

El centro de datos debe contar con medidas de seguridad en el cableado y medidas de respaldo de energa de emergencia.
La infraestructura elctrica debe revisarse por lo menos cada 6 meses para garantizar su buen funcionamiento

El centro de datos debe contar con planes de mantenimiento y contratos vigentes con proveedores de los medios y dispositivo
Las redes dentro del centro de datos deben contar con dispositivos de prevencin o deteccin de Intrusos.

La red debe estar protegida con dispositivos de seguridad que apliquen listas de control de acceso.

Las redes deben estar segmentadas para proteger el flujo de informacin en redes con distintos tipos de usuarios.

El aplicativo debe tener aplicada una lnea base de seguridad que debe incluir como mnimo:
- Implementacin de autenticacin de los usuarios (internos o clientes).
- Implementacin de mecanismo de no repudio de transacciones.
- Proteccin contra inyeccin de cdigo
- Inicio de sesin seguro
- Validacin de datos de entrada / salida para evitar errores en el procesamiento de la informacin.
- Manejo de errores.
- Endurecer el sistema. (Hardening)

Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que dan soporte al proceso de
- Proteccin del BIOS en arranque de los sistemas.
- Deshabilitacin de unidades de almacenamiento removibles.
- Instalacin del S.O. en particin exclusiva.
- Inhabilitacin de puertos, protocolos usuarios y servicios innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema operativo.

Los activos que dan soporte al proceso de PCRDD deben contar con los ltimos parches de seguridad y actualizaciones emitida
Se deben generar respaldos de los activos y la informacin que dan soporte al proceso de PCRDD, con la periodicidad definida

Se debe contar con un plan de pruebas de los respaldos para verificar que son funcionales

Los medios donde se almacenan los respaldos debern estar protegidos en un rea especfica para este efecto, de preferencia
Los medios donde se almacenen respaldos o informacin de los contribuyentes o del SAT debern estar sujetos a un procedim
- Solicitud y Autorizacin explcitas de la destruccin o borrado.
- Actas de destruccin o borrado firmadas por el personal que lo realiza.
Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes, debern contar con mecan

Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto con algn material opaco y
- Control de Accesos Fsicos y Lgicos (Slo personal autorizado).
- Registro de Hashes de Control.
- Segregacin de roles con acceso a los dispositivos de almacenamiento de llaves y certificados.
- Instalacin nica de la llave provista por el SAT (respaldada por un acta firmada por los responsables de su instalacin y custo
-Contexto o particin exclusiva para el almacenamiento de los certificados.

Se deben realizar, documentar y dar seguimiento a pruebas de seguridad en los activos que dan soporte al proceso de PCRDD
Se debe realizar un plan para atender los hallazgos detectados durante las pruebas de seguridad y reportar al SAT en un lapso
Todos los activos tecnolgicos que dan soporte al proceso de PCRDD debern contar con una solucin de proteccin contra c
Los ambientes de desarrollo, pruebas y produccin deben estar separados fsica o lgicamente unos de otros y todos deben te
La informacin del proceso de PCRDD debe estar separada fsica o lgicamente de la informacin de otros procesos o aplicativ

El aplicativo de PCRDD debe contar con documentacin tcnica completa.

La documentacin tcnica debe incluir como mnimo:

- Flujo de Datos
- Modelo y Diccionario de Datos
- Diagrama de implementacin

El aplicativo debe contar con un proceso formal de control de cambios, que debe incluir como mnimo:
- Estimacin de impacto de cambios
- Pruebas
- Autorizacin
- Liberacin de cambios
- Reversos de cambios
El aplicativo debe contar con bitcoras de acceso y uso, que deben contener como mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Folio
- Detalle de la actividad (RFC y detalle como mnimo)

Se debe registrar lo siguiente en la bitcora:

- Registro de intentos de acceso fallidos.
- Registro de accesos exitosos.
- Registro de cierre de sesin ya sea por inactividad o por parte del usuario.
- Registro de consulta de las propias bitcoras.
- Registro de errores y/o excepciones.
- Registro de actividad de los usuarios:
a) Registro de Altas, Bajas y cambios.
b) Registro de impresiones.
c) Registro de consultas a documentos.
d) Registro de documentos.

*A nivel base de datos, aplicacin y sistema operativo.

Las bitcoras estn enfocadas al personal administrativo de la aplicacin o servicio.

El aplicativo debe contar con sesiones que expiren despus de mximo 10 minutos de inactividad. El reingreso deber de solici
Se debe de especificar un procedimiento por medio del cual el SAT pueda tener acceso a las base de datos de informacin del
Las transacciones de timbrado del proceso de PCRDD deben estar sincronizadas usando un servidor de NTP con GPS.

Debe existir una poltica y procedimientos formal que aseguren el manejo de la informacin y los datos personales de los Cont

Deber de existir un procedimiento de resguardo de certificados apegado a las mejores prcticas.

Poltica de cifrado de informacin y gestin de las llaves pblicas y privadas.

Se debe de contemplar por lo menos los requerimientos establecidos en el 69 del cdigo fiscal y la proteccin de datos person

Debern de existir procesos y procedimientos para la gestin de la integridad de la informacin almacenada y gestionada en se

Implementar un proceso de monitoreo que detalle el mecanismo de control de cambios realizados sobre la informacin sensib

Se debe de validar que la informacin es consistente e integra, que los registros no se pueden cambiar sin que se generen aler

Se debern de implementar medios para validar y mantener la integridad de la informacin.

Debe existir una poltica y procedimientos para llevar a cabo la validacin de la seguridad del aplicativo. Considerando las prue

A1: SQL Injection

A2: Cross-site Scripting
A3: Broken Authentication and Session Management
A4: Insecure Direct Object Reference
A5: Cross-site Request Forgery
A6: Security Misconfiguration
A7: Failure to Restrict URL Access
A8: Insufficient Transport Layer Protection
A9: Unvalidated Redirects and Forwards

Debe existir una poltica y procedimientos para llevar a cabo la validacin de los datos ingresados a la aplicacin, con el fin de i

Uso de catlogos
Validacin de entradas
Codificacin de salidas
Validacin y administracin de contraseas
Administracin de sesin
Practicas de criptografa
Administracin de errores y logeo
Proteccin de datos
Seguridad de la comunicacin
Configuracin del sistema
Seguridad en la base de datos
Administracin de archivos
Mejores prcticas de codificacin

Se debe de implementar mecanismos para asegurar que slo el titular de la informacin puede acceder y consultar la informac

No se deber poder acceder a la informacin del contribuyente en cualquier circunstancia. Esto aplica a todos los elementos q

Se deber registrar y reportar niveles de servicio de la aplicacin. Se debe de contar con un procedimiento documentado de c

Se deber generar un reporte con los Niveles de Servicio de forma mensual. El mnimo requerimiento de nivel de servicio es de
Debe de existir un procedimiento para la consulta en lnea de las bitcoras del aplicativo, el cual deber de tener controles de s
---------Funcionalidad------------
La aplicacin deber poder acceder a:
1- Bitcora del aplicativo.
2- Bitcora de la base de datos.
3- Bitcora del sistema operativo.
4- Niveles de Servicio

--------------Formatos---------------
Se debe entregar un reporte respetando la nomenclatura del nombre de la siguiente forma:
-Tipo de servicio (PCRDD)
-Tipo de bitcora (AP, BD, OS, SL)
-RFC del contribuyente a doce posiciones (persona moral acreditada)
-Ejercicio (ej. 2014)
-Mes del ejercicio a dos posiciones (ej. Enero 01)
-Consecutivo de archivo a tres posiciones (ej. 001, 201)
Ejemplo: PCRDDAPXXXX761015XY201401001

*Se deben utilizar letras maysculas y sin acentos.

Los registros de la bitcora debern considerar lo siguiente (lnea por registro):

- Fecha y hora.
- Usuario.
- IP origen.
- Folio
- Detalle de la actividad

*Se deber poder descargar la informacin en formato CSV.

Se debe de implementar un procedimiento que registre y monitorea la actividad de cada equipo que interviene o tiene contac

Ej. Acceso a archivo, copias, impresiones, etc.

El representante legal del Aspirante a PAC debe presentar un documento donde afirme que conoce y respetar el apego a las le

El aspirante deber indicar que conoce su responsabilidad de verificar el cumplimiento con dichas leyes.

El aspirante deber indicar que exime al SAT de cualquier responsabilidad derivada del incumplimiento de las leyes aplicables.
n de documentos digitales

Periodicidad / Parmetro Requerido

1 vez al ao como mnimo.

Cada que se contrata personal nuevo

12 meses

12 meses

12 meses

12 meses
Anual

6 meses
100 m

30 das
6 meses

definida por la empresa

12 meses en sistema y 5 aos en histrico.

mximo 10 minutos
Mensual
Diario

Diario
 Entrega esperada

Documento con la descripcin del contexto de negocio.

Documento y mapa de requerimientos.

* Documento con el proceso de negocio.

* Documento con objetivos, indicadores claves de cumplimiento y mtricas.
* Documento con Entradas y salidas del proceso.
* Estndares, normas o buenas prcticas al que esta alineado el proceso.
* Monitoreo y evaluacin del proceso.

* Documento con la incorporacin de la estrategia de seguridad con la estrategia del negocio.

* Documento con los recursos asignados.
* Documento con el programa de seguridad de la informacin.
* Documento de reporte de asignacin y supervisin de avance del programa de seguridad de la informacin.

Poltica de seguridad de la informacin.

Polticas alineadas a mejores practicas.

* Documentos con responsivas de los participantes.

* Organigrama.
Roles dentro del organigrama.

Documento con el marco de trabajo.

Documento con la metodologa a seguir.

Documento con los resultados de la gestin de riesgo.

Documento y plan de trabajo con los objetivos de la seguridad de la informacin.

Documento con las competencias por rol y plan de capacitacin.

Documento que detalle la gestin de comunicacin

Plan de concientizacin, listados de asistencia con fecha y firma.

Plan operativo de seguridad de la informacin, controles de cambio, controles de seguridad de la informacin

Documento de gestin de monitoreo, reportes de operacin y atencin a desviaciones.

Reporte de auditora

* Acuerdos de confidencialidad
* Acuerdos de no divulgacin

Documento con informacin como Nombres, telfonos, correos electrnicos, telfonos de emergencia de las autoridades relev

Certificaciones, constancias de asistencia a cursos de seguridad, subscripciones con autoridades en seguridad como en NIST, SA

Poltica con clasificacin de la informacin en: pblica, reservada y confidencial.

Poltica de etiquetado, manejo y resguardo de la informacin de acuerdo a su clasificacin.

Cartas de antecedentes no penales de los empleados.

Poltica y procedimientos para la eliminacin de accesos lgicos y fsicos en el personal interno o externo que ya no labore en l

Poltica y procedimientos para la devolucin de activos.

Contrato laboral y acuerdos de confidencialidad.

* Polticas y procedimientos de gestin de ac

*CMDB.
* Inventario de Activos
Polticas y procedimientos de manejo de activos
Polticas y procedimientos de manejo de activos

* CCTV.
* Custodia de las oficinas.
* Bitcora de acceso.
Poltica y bitcoras de acceso a las instalaciones.
 * Proceso de gestin de incidentes.
* Matriz de escalamiento de incidentes y probl
* SLA vigentes.
* Incidentes de seguridad, su clasificacin,
* Procedimientos seguimiento,
de notificacin al responsables yf
SAT en caso de
* Matriz de escalacin de incidentes.
* Directorio telefnico de contactos de la com
* Directorio telefnico de contactos del SA

* Proceso de respuesta a incidentes donde exista una definicin clara de lo que es un incidente de seguridad y como se debe d
* Matriz de escalamiento.

BCP derivado de un BIA.

Reporte anual de los resultados de las pruebas al BCP.

Plan anualizado de gestin de la capacidad tecnolgica.

Plan anualizado de gestin de la capacidad operativa.

DRP derivado de un BIA.

Reporte anual de los resultados de las pruebas al DRP.

Procedimiento de gestin de cuentas.

Procedimiento de gestin de cuentas con privilegios.

Poltica de gestin y cifrado de contraseas.

Procedimiento de altas o cambios de accesos de usuarios.

Contrato laboral con el centro de datos.

Autenticacin para el acceso.

Informacin respectos a la seguridad fsica con la que cuenta la compaa, considerando los controles de seguridad tales como
servidores, control y gestin de exclusas, bitcoras del personal visitante al centro de datos.
Instructivo de sealizacin de las reas.

Informacin de sensores de humo, aspersores, sensor de humedad, extintores o cualquier otro mecanismo de medidas contra
Contrato del mantenimiento de los sistemas de aire acondicionado.
Contrato del mantenimiento de los sistemas de flujo de agua.

Contrato del mantenimiento de:

a) Generadores.
b) UPS.
c) Bateras de respaldo.
d) Acometidas de energa.
e) Cableado.

Contratos de Mantenimiento.
Configuracin, reglas y estatus del IDS/IPS.
* Configuracin de las reglas o listas de control de acceso del FW.
* Proceso de gestin del FW.
* Control de acceso al FW.
Controles de segregacin de redes.

Documento con configuracin y lnea base de seguridad del aplicativo, listado de activos, versin del sistema.

Polticas y procedimientos de control de cambios y control de pruebas para el despliegue de nuevos parches y/o actualizacion
Poltica y procedimientos para la generacin, etiquetado y resguardo de los respaldos.
* Plan de pruebas de respaldos.
* Bitcora de respaldos.

* Cifrado de los respaldos.

* Responsables que cuenten con acceso a los respaldos.
* Controles de seguridad fsica (caja fuerte).
Acta de destruccin, ordenes de servicio de construccin.

Documento en donde se especifiqu el mtodo y la criptografa usada en caso de tener servicios expuestos

Caractersticas del HSM, registro de insercin, cambios a los certificados, documento de segregacin de roles, bitcoras.

Plan de pruebas de seguridad, reportes de las pruebas de seguridad y hallazgos.

Plan de seguimiento a los hallazgos y control de cambios de los hallazgos.
IPS, IDS, antivirus, programas de proteccin.
Diagrama de arquitectura de hardware.
Diagrama de arquitectura, listado de activos, arquitectura de software, diagrama de red y reglas de red.

Mapa del flujo de datos, modelo y diccionario de la base de datos

Documento con el proceso de control de cambios, evidencia de un control de cambios, bitcoras, aprobaciones
Bitcoras, pantallas.

Pantalla
Documento que contenga el proceso
Configuracin y uso de servidor de tiempo

Documentos, procedimiento, mejores prcticas.

Documento de proceso de gestin de la integridad.

Documento con polticas, procedimientos y reportes.

Documento con las polticas y procedimientos para llevar a cabo la validacin de los datos ingresados

Documento con procedimiento, pantallas, cdigo.

Reporte.
Procedimiento de acceso y reportes.

Procedimiento, pantallas, bitcoras, reglas, herramienta.

Documento firmado por el representante legal