Documente Academic
Documente Profesional
Documente Cultură
Estructura organizacional
8
9
Gestin de riesgos
10
11
Objetivos y competencias
12
13
Comunicacin
14
Operacin de la seguridad 15
Monitoreo y auditora
17
Clasifcacin de la Informacin
18
19
20
21
22
Personal Interno 23
24
26
27
Gestin de los Activos
28
29
30
Seguridad Fsica
31
32
Monitoreo de Seguridad 34
35
BCP
36
37
Gestin de la Capacidad
38
39
DRP
40
41
Gestin de cuentas 42
43
44
45
46
47
Seguridad Fsica
Seguridad Fsica
48
49
Controles Ambientales 50
51
52
Servicios de Soporte
53
54
Comunicaciones 55
56
58
59
60
Respaldos
61
Respaldos
62
63
Criptografa
64
65
Pruebas de Seguridad
66
Proteccin Contra Cdigo Malicioso 67
68
Separacin de Ambientes
69
70
71
Seguridad en Aplicativo
Seguridad en Aplicativo
72
73
Acceso a base de datos 74
Servidor de tiempo 75
76
77
Encripcin de Datos
78
Encripcin de Datos
79
80
81
Consulta de informacin
Consulta de informacin
82
83
Liderazgo y compromiso
Competencias
Concientizacin
Operacin
n en la empresa
Monitoreo, medicin, anlisis y evaluacin.
Acuerdos de Confidencialidad
Devolucin de Activos
Inventario de Activos
Controles de Entrada
Incidentes y Problemas
Notificacin al SAT
Pruebas de BCP
Capacidad Tecnolgica
Capacidad Operativa
Gestin de Privilegios
Revisin de Permisos
Ubicacin del Centro de Datos
Vigilancia y Monitoreo
Sealizacin
Instalacin Elctrica
Proteccin Perimetral
Segmentacin de Redes
Actualizaciones
Respaldos
Pruebas de Respaldos
Pruebas de Seguridad
Seguimiento a hallazgos de pruebas de Seguridad
Proteccin contra Cdigo Malicioso
Separacin de Ambientes
Aislamiento de informacin
Documentacin
Control de Cambios
Bitcoras
Parmetros internos y externos del ambiente PCRDD, establecer el alcance y criterios de riesgos.
Se espera un documento donde se identifique el contexto donde el PCRDD se va a desenvolver, los factores que pueden afecta
Requerimientos de negocio de los distintos participantes, involucrados en el proceso de prestacin de servicios. Ej. Gobierno, I
Se espera un documento en donde se especifique qu requerimientos existen para el negocio pueda operar.
1. Se debe de tener objetivos y una poltica de seguridad de la informacin de alto nivel compatible con la estrategia de negoc
2. Asegurar que los requerimientos de la seguridad de la informacin estn integrados a los procesos organizacionales relacion
3. Asegurar que se proporcionen los recursos requeridos para mantener la seguridad de la informacin del negocio.
4. Comunicar en forma efectiva la importancia de mantener los niveles adecuados de seguridad de informacin y se conforme
5. Asegurar que los requerimientos de seguridad de la informacin alcanza sus objetivos.
6. Dirigir y liderar los roles gerenciales para contribuir a la efectividad en el cumplimiento de los requerimientos de seguridad y
Se debe de tener un responsiva firmada especifica para el rol y responsabilidades de cada elemento que va a participar en la p
Debe de considerar por lo menos tipo de documento, rea, fecha, nombre, puesto, descripcin, texto que identifique a que inf
1. Las personas que participan en los servicios del negocio o son encargados de la seguridad de la informacin debern tener l
2. Plan de capacitacin o entrenamiento para alcanzar o retener las competencias requeridas para desempear las funciones.
La organizacin debe de determinar las necesidades de comunicacin interna y externa relevante para la administracin del sis
1. Qu es lo que se debe de comunicar?.
2. Cundo se debe de comunicar?.
3. A quin se le debe de comunicar?.
4. Quin lo debe de comunicar?.
5. Los procesos que pueden ser afectados por la comunicacin.
Planear, implementar y controlar los requerimientos y objetivos de seguridad de informacin. Debe de considerar el control de
Los proveedores que ofrezcan servicios al PCRDD debern estar capacitados, conocer y alinearse a las polticas de seguridad de
Portal del SAT.
La organizacin deber evaluar si el desempeo y efectividad de su servicio y la seguridad se encuentran acorde a sus polticas
1. Determinar que se debe de monitorear y medir.
2. Determinar qu mtodos se van a utilizar para monitorear, medir, analizar y evaluar.
3. Determinar cundo se deben de monitorear y medir.
4. Determinar quin debe de monitorear y medir.
5. Determinar cundo se revisaran los resultados de monitoreo.
6. Quin deber realizar el anlisis y evaluacin de estos resultados.
7. Quin detonar y dar seguimiento a las acciones correctivas.
La organizacin debe realizar auditorias internas por personal interno o externo con las credenciales adecuadas para la revisin
La auditora evaluar el cumplimiento de los objetivos o requerimientos de seguridad de la informacin que se hayan trazado,
Se deber planear, establecer e implementar un plan de auditora, que incluya frecuencia, seguimiento del resultado de las aud
La empresa debe tener acuerdos de confidencialidad y/o acuerdos de no divulgacin firmados por la empresa para con el SAT
el desempeo de sus actividades, en caso de que deje de laborar en la empresa considerar un periodo posterior en el cual ten
La empresa debe contar con procedimientos formales para mantener contacto y permitir investigaciones por parte de las auto
La empresa debe estar en contacto con grupos especializados en seguridad y/o asociaciones profesionales.
La empresa debe contar con una poltica y procedimientos formales para la clasificacin de la informacin de acuerdo a su rele
Se debe llevar a cabo la verificacin de antecedentes de todos los candidatos a puestos internos de la empresa.
La empresa debe contar con procedimientos para llevar a cabo la eliminacin de accesos lgicos y fsicos en el personal interno
La empresa debe contar con un procedimiento para la devolucin de los activos que el personal tuvo asignado mientras labora
Todos los activos deben estar claramente identificados. Se debe elaborar y mantener un inventario actualizado de todos los ac
Toda la informacin y los activos asociados con los medios de procesamiento de la informacin deben ser propiedad (respons
La empresa debe contar con una poltica y procedimientos para identificar, documentar e implementar las reglas para el uso ac
Se deben utilizar permetros de seguridad (barreras tales como paredes y puertas de ingreso controlado, policas o recepcionis
Se deben proteger las reas seguras mediante controles de entrada apropiados para asegurar que slo se permita acceso al pe
- Identificacin de Incidentes y Problemas
- Registro de Incidentes y Problemas (indicando tipo, clasificacin, diagnstico)
- Notificacin y Escalacin de Incidentes y Problemas
La empresa debe contar con procedimientos de notificacin al SAT en caso de Incidentes o problemas que puedan compromet
La empresa debe definir aquellos eventos de seguridad que van a monitorear, de acuerdo a su anlisis de riesgos, sin embargo
- Uso de cuentas privilegiadas.
- Acceso a informacin con clasificacin alta de confidencialidad.
- Comportamiento anormal de los equipos.
La empresa debe contar con un plan de ejecucin de pruebas del BCP por lo menos cada 12 meses.
Se debe planear, monitorear, y ajustar el uso de recursos tecnolgicos (software, equipos, comunicaciones, etc) para asegurar
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.
Se debe planear, monitorear, y ajustar el uso de recursos operativos (personal, herramientas, espacios) para asegurar el desem
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.
La empresa debe contar con un plan de recuperacin de desastres para su centro de datos que incluya por lo menos los activo
La empresa debe contar con un plan de pruebas del DRP.
La empresa debe documentar procedimientos formales para las Altas, Bajas y Cambios de accesos de usuarios, que incluyan co
- Bloqueo de las cuentas por intentos fallidos de autenticacin.
- Bloqueo de cuentas por periodo de inactividad.
Los accesos remotos slo se debern proporcionar bajo circunstancias de excepcin y con un estricto proceso de autorizacione
La empresa debe contar con procedimientos formales para restringir y controlar la asignacin y uso de los privilegios. Debe exi
La empresa debe contar con procedimientos formales de asignacin de contraseas, los procedimientos deben contar por lo m
- Reglas para la creacin de contraseas (longitud mnima, histrico, caracteres permitidos, etc.).
- Las contraseas se deben encriptar en todos los activos que dan soporte al proceso de PCRDD.
La empresa debe realizar peridicamente (por lo menos cada 6 meses) una revisin de los usuarios existentes en los sistemas d
El centro de datos debe estar asentado en lugares libres de altos riesgos, por lo menos a 100 m de lugares como gasolineras, ga
El centro de datos debe estar protegido por un permetro de acceso fsico controlado, controles de acceso automatizados y pro
El personal que acceda al centro de datos no deber introducir medios de almacenamiento extrables sin autorizacin.
Las bitcoras de acceso debern resguardarse en un lugar seguro.
El centro de datos debe contar personal de vigilancia las 24 hrs y un sistema de monitoreo de las instalaciones (CCTV, etc).
El sistema de monitoreo debe almacenar los videos de vigilancia con historial de por lo menos 30 das y almacenarlos en un lu
El personal debe estar debidamente capacitado y contar con las herramientas necesarias para responder en caso de emergenc
Las instalaciones deben contar con sealizacin que indique claramente:
El centro de datos debe contar con medidas de seguridad en el cableado y medidas de respaldo de energa de emergencia.
La infraestructura elctrica debe revisarse por lo menos cada 6 meses para garantizar su buen funcionamiento
El centro de datos debe contar con planes de mantenimiento y contratos vigentes con proveedores de los medios y dispositivo
Las redes dentro del centro de datos deben contar con dispositivos de prevencin o deteccin de Intrusos.
La red debe estar protegida con dispositivos de seguridad que apliquen listas de control de acceso.
Las redes deben estar segmentadas para proteger el flujo de informacin en redes con distintos tipos de usuarios.
El aplicativo debe tener aplicada una lnea base de seguridad que debe incluir como mnimo:
- Implementacin de autenticacin de los usuarios (internos o clientes).
- Implementacin de mecanismo de no repudio de transacciones.
- Proteccin contra inyeccin de cdigo
- Inicio de sesin seguro
- Validacin de datos de entrada / salida para evitar errores en el procesamiento de la informacin.
- Manejo de errores.
- Endurecer el sistema. (Hardening)
Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que dan soporte al proceso de
- Proteccin del BIOS en arranque de los sistemas.
- Deshabilitacin de unidades de almacenamiento removibles.
- Instalacin del S.O. en particin exclusiva.
- Inhabilitacin de puertos, protocolos usuarios y servicios innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema operativo.
Los activos que dan soporte al proceso de PCRDD deben contar con los ltimos parches de seguridad y actualizaciones emitida
Se deben generar respaldos de los activos y la informacin que dan soporte al proceso de PCRDD, con la periodicidad definida
Se debe contar con un plan de pruebas de los respaldos para verificar que son funcionales
Los medios donde se almacenan los respaldos debern estar protegidos en un rea especfica para este efecto, de preferencia
Los medios donde se almacenen respaldos o informacin de los contribuyentes o del SAT debern estar sujetos a un procedim
- Solicitud y Autorizacin explcitas de la destruccin o borrado.
- Actas de destruccin o borrado firmadas por el personal que lo realiza.
Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes, debern contar con mecan
Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto con algn material opaco y
- Control de Accesos Fsicos y Lgicos (Slo personal autorizado).
- Registro de Hashes de Control.
- Segregacin de roles con acceso a los dispositivos de almacenamiento de llaves y certificados.
- Instalacin nica de la llave provista por el SAT (respaldada por un acta firmada por los responsables de su instalacin y custo
-Contexto o particin exclusiva para el almacenamiento de los certificados.
Se deben realizar, documentar y dar seguimiento a pruebas de seguridad en los activos que dan soporte al proceso de PCRDD
Se debe realizar un plan para atender los hallazgos detectados durante las pruebas de seguridad y reportar al SAT en un lapso
Todos los activos tecnolgicos que dan soporte al proceso de PCRDD debern contar con una solucin de proteccin contra c
Los ambientes de desarrollo, pruebas y produccin deben estar separados fsica o lgicamente unos de otros y todos deben te
La informacin del proceso de PCRDD debe estar separada fsica o lgicamente de la informacin de otros procesos o aplicativ
El aplicativo debe contar con un proceso formal de control de cambios, que debe incluir como mnimo:
- Estimacin de impacto de cambios
- Pruebas
- Autorizacin
- Liberacin de cambios
- Reversos de cambios
El aplicativo debe contar con bitcoras de acceso y uso, que deben contener como mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Folio
- Detalle de la actividad (RFC y detalle como mnimo)
El aplicativo debe contar con sesiones que expiren despus de mximo 10 minutos de inactividad. El reingreso deber de solici
Se debe de especificar un procedimiento por medio del cual el SAT pueda tener acceso a las base de datos de informacin del
Las transacciones de timbrado del proceso de PCRDD deben estar sincronizadas usando un servidor de NTP con GPS.
Debe existir una poltica y procedimientos formal que aseguren el manejo de la informacin y los datos personales de los Cont
Debern de existir procesos y procedimientos para la gestin de la integridad de la informacin almacenada y gestionada en se
Implementar un proceso de monitoreo que detalle el mecanismo de control de cambios realizados sobre la informacin sensib
Se debe de validar que la informacin es consistente e integra, que los registros no se pueden cambiar sin que se generen aler
Debe existir una poltica y procedimientos para llevar a cabo la validacin de los datos ingresados a la aplicacin, con el fin de i
Uso de catlogos
Validacin de entradas
Codificacin de salidas
Validacin y administracin de contraseas
Administracin de sesin
Practicas de criptografa
Administracin de errores y logeo
Proteccin de datos
Seguridad de la comunicacin
Configuracin del sistema
Seguridad en la base de datos
Administracin de archivos
Mejores prcticas de codificacin
Se debe de implementar mecanismos para asegurar que slo el titular de la informacin puede acceder y consultar la informac
No se deber poder acceder a la informacin del contribuyente en cualquier circunstancia. Esto aplica a todos los elementos q
Se deber registrar y reportar niveles de servicio de la aplicacin. Se debe de contar con un procedimiento documentado de c
Se deber generar un reporte con los Niveles de Servicio de forma mensual. El mnimo requerimiento de nivel de servicio es de
Debe de existir un procedimiento para la consulta en lnea de las bitcoras del aplicativo, el cual deber de tener controles de s
---------Funcionalidad------------
La aplicacin deber poder acceder a:
1- Bitcora del aplicativo.
2- Bitcora de la base de datos.
3- Bitcora del sistema operativo.
4- Niveles de Servicio
--------------Formatos---------------
Se debe entregar un reporte respetando la nomenclatura del nombre de la siguiente forma:
-Tipo de servicio (PCRDD)
-Tipo de bitcora (AP, BD, OS, SL)
-RFC del contribuyente a doce posiciones (persona moral acreditada)
-Ejercicio (ej. 2014)
-Mes del ejercicio a dos posiciones (ej. Enero 01)
-Consecutivo de archivo a tres posiciones (ej. 001, 201)
Ejemplo: PCRDDAPXXXX761015XY201401001
Se debe de implementar un procedimiento que registre y monitorea la actividad de cada equipo que interviene o tiene contac
El representante legal del Aspirante a PAC debe presentar un documento donde afirme que conoce y respetar el apego a las le
El aspirante deber indicar que conoce su responsabilidad de verificar el cumplimiento con dichas leyes.
El aspirante deber indicar que exime al SAT de cualquier responsabilidad derivada del incumplimiento de las leyes aplicables.
n de documentos digitales
12 meses
12 meses
12 meses
Anual
6 meses
100 m
30 das
6 meses
mximo 10 minutos
Mensual
Diario
Diario
Entrega esperada
Reporte de auditora
* Acuerdos de confidencialidad
* Acuerdos de no divulgacin
Documento con informacin como Nombres, telfonos, correos electrnicos, telfonos de emergencia de las autoridades relev
Certificaciones, constancias de asistencia a cursos de seguridad, subscripciones con autoridades en seguridad como en NIST, SA
Poltica y procedimientos para la eliminacin de accesos lgicos y fsicos en el personal interno o externo que ya no labore en l
* CCTV.
* Custodia de las oficinas.
* Bitcora de acceso.
Poltica y bitcoras de acceso a las instalaciones.
* Proceso de gestin de incidentes.
* Matriz de escalamiento de incidentes y probl
* SLA vigentes.
* Incidentes de seguridad, su clasificacin,
* Procedimientos seguimiento,
de notificacin al responsables yf
SAT en caso de
* Matriz de escalacin de incidentes.
* Directorio telefnico de contactos de la com
* Directorio telefnico de contactos del SA
* Proceso de respuesta a incidentes donde exista una definicin clara de lo que es un incidente de seguridad y como se debe d
* Matriz de escalamiento.
Informacin respectos a la seguridad fsica con la que cuenta la compaa, considerando los controles de seguridad tales como
servidores, control y gestin de exclusas, bitcoras del personal visitante al centro de datos.
Instructivo de sealizacin de las reas.
Informacin de sensores de humo, aspersores, sensor de humedad, extintores o cualquier otro mecanismo de medidas contra
Contrato del mantenimiento de los sistemas de aire acondicionado.
Contrato del mantenimiento de los sistemas de flujo de agua.
Contratos de Mantenimiento.
Configuracin, reglas y estatus del IDS/IPS.
* Configuracin de las reglas o listas de control de acceso del FW.
* Proceso de gestin del FW.
* Control de acceso al FW.
Controles de segregacin de redes.
Documento con configuracin y lnea base de seguridad del aplicativo, listado de activos, versin del sistema.
Polticas y procedimientos de control de cambios y control de pruebas para el despliegue de nuevos parches y/o actualizacion
Poltica y procedimientos para la generacin, etiquetado y resguardo de los respaldos.
* Plan de pruebas de respaldos.
* Bitcora de respaldos.
Documento en donde se especifiqu el mtodo y la criptografa usada en caso de tener servicios expuestos
Caractersticas del HSM, registro de insercin, cambios a los certificados, documento de segregacin de roles, bitcoras.
Documento con el proceso de control de cambios, evidencia de un control de cambios, bitcoras, aprobaciones
Bitcoras, pantallas.
Pantalla
Documento que contenga el proceso
Configuracin y uso de servidor de tiempo
Documento con las polticas y procedimientos para llevar a cabo la validacin de los datos ingresados
Reporte.
Procedimiento de acceso y reportes.