Escolar Documentos
Profissional Documentos
Cultura Documentos
DOF 21/10/2016
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretara de Economa.-
Secretara de la Funcin Pblica.- Servicio de Administracin Tributaria.
ILDEFONSO GUAJARDO VILLARREAL, Secretario de Economa; JAVIER VARGAS ZEMPOALTECATL,
Subsecretario de Responsabilidades Administrativas y Contrataciones Pblicas de la Secretara de la Funcin
Pblica en ausencia del Secretario de la Funcin Pblica y OSVALDO ANTONIO SANTN QUIROZ, Jefe del
Servicio de Administracin Tributaria, con fundamento en lo dispuesto por los artculos 17, 31 fraccin XXXIV,
34 fraccin XXXIII y 37 fracciones XXII y XXIX de la Ley Orgnica de la Administracin Pblica Federal; 5
segundo prrafo; 2 fraccin I del Reglamento de la Ley de Firma Electrnica Avanzada; 1, 7 fraccin XVIII y 14
fraccin I de la Ley del Servicio de Administracin Tributaria, en relacin con el Artculo Tercero Transitorio del
Decreto por el que se reforman, adicionan y derogan diversas disposiciones contenidas en la Ley del Servicio
de Administracin Tributaria publicado en el Diario Oficial de la Federacin el 12 de junio del 2003; 5 fraccin
XVI del Reglamento Interior de la Secretara de Economa; 6 fraccin I, 7 fraccin XII y 86 del Reglamento
Interior de la Secretara de la Funcin Pblica, y 8 fraccin XXI del Reglamento Interior del Servicio de
Administracin Tributaria, y
CONSIDERANDO
Que con fecha 11 de enero de 2012 se public en el Diario Oficial de la Federacin la Ley de Firma
Electrnica Avanzada, la cual contempla en su artculo 5, segundo prrafo, que la Secretara de la Funcin
Pblica, la Secretara de Economa y el Servicio de Administracin Tributaria dictarn, de manera conjunta, las
disposiciones generales para el adecuado cumplimiento de la Ley mencionada;
Que con fecha 21 de marzo de 2014 se public en el Diario Oficial de la Federacin el Reglamento de la
Ley de Firma Electrnica Avanzada, el cual refiere en su artculo 2, fraccin I, a las Disposiciones Generales
como aquellas que se emitan en trminos del artculo 5 de la Ley de Firma Electrnica Avanzada;
Que resulta necesario determinar los requisitos, caractersticas, estndares y mecanismos tecnolgicos
que estn obligados a cumplir los interesados en obtener el carcter de Autoridades Certificadoras para la
emisin de los certificados digitales previstos en el artculo 24 de la Ley de Firma Electrnica Avanzada y la
prestacin de servicios relacionados; la estructura de los certificados digitales que emitan las Autoridades
Certificadoras; los requerimientos tcnicos que como mnimo debern contener los sistemas informticos de
las dependencias y entidades de la Administracin Pblica Federal para estar en posibilidad de llevar a cabo
el firmado de documentos electrnicos y, en su caso, mensajes de datos, as como la forma y trminos en que
las Autoridades Certificadoras proporcionarn a las dependencias y entidades los servicios relacionados con
la firma electrnica avanzada, por lo que hemos tenido a bien emitir las siguientes
DISPOSICIONES GENERALES DE LA LEY DE FIRMA ELECTRNICA AVANZADA
Objeto
PRIMERA.- Las presentes Disposiciones Generales tienen por objeto establecer:
I. Los requisitos, caractersticas, estndares y mecanismos tecnolgicos que debern cumplir las
dependencias y entidades de la Administracin Pblica Federal, as como los prestadores de
servicios de certificacin que estn interesados en obtener el carcter de Autoridad Certificadora
para la emisin de los certificados digitales previstos en la Ley de Firma Electrnica Avanzada y su
Reglamento, as como la autorizacin para la prestacin de servicios relacionados con la firma
electrnica avanzada;
II. La estructura que debern cumplir los certificados digitales que emitan las Autoridades
Certificadoras, previstos en el Ttulo Tercero, Captulo I de la Ley de Firma Electrnica Avanzada;
III. Los requerimientos tcnicos mnimos para que los sistemas informticos, as como las
herramientas tecnolgicas o aplicaciones de las dependencias y entidades de la Administracin
Pblica Federal puedan llevar a cabo el firmado de documentos electrnicos y, en su caso,
mensajes de datos en la realizacin de los actos y actuaciones a que se refiere la Ley y su
Reglamento;
IV. La manera en que se llevar a cabo la conservacin de los mensajes de datos y de los documentos
electrnicos con firma electrnica avanzada;
V. Las medidas y controles de seguridad que debern adoptar las Autoridades Certificadoras para
evitar la falsificacin, alteracin o uso indebido de Certificados Digitales;
VI. El destino de los registros y archivos generados por las Autoridades Certificadoras que hayan sido
suspendidas o revocadas de tal carcter;
VII. La forma y trminos en que las Autoridades Certificadoras proporcionarn a las dependencias y
entidades de la Administracin Pblica Federal, el servicio de consulta sobre el estado de validez,
de los certificados digitales que emitan, y
VIII. Cualquier otro servicio relacionado con la Firma Electrnica Avanzada.
Definiciones y acrnimos
SEGUNDA.- En adicin a las definiciones previstas en la Ley de Firma Electrnica Avanzada y en su
Reglamento, para efectos de las presentes Disposiciones Generales, se entender por:
I. AC: Autoridad Certificadora;
II. Claves criptogrficas: la clave pblica y la clave privada;
III. HTTP: Protocolo utilizado para el intercambio de informacin en Internet (Hyper Text Transfer
Protocol, HTTP por sus siglas en ingls);
IV. HTTPS: Protocolo seguro para el intercambio de informacin en Internet (Hyper Text Transfer
Protocol Secure, HTTPS por sus siglas en ingls);
V. MAAGTICSI: Manual Administrativo de Aplicacin General en las materias de Tecnologas de la
Informacin y Comunicaciones y de Seguridad de la Informacin, emitido por la Secretara y la
Secretara de Gobernacin como anexo nico del Acuerdo que tiene por objeto emitir las polticas y
disposiciones para la Estrategia Digital Nacional, en materia de tecnologas de la informacin y
comunicaciones, y en la de seguridad de la informacin, as como establecer el Manual
Administrativo de Aplicacin General en dichas materias;
VI. OCSP: Protocolo utilizado para obtener en tiempo real el estado actual de un certificado digital
(OCSP, Online Certificate Status Protocol, por sus siglas en ingls);
VII. OID: es el nmero que se asigna para identificar un objeto sin ambigedad, el cual se conforma de
acuerdo al estndar del Instituto Nacional Estadounidense de Estndares (ANSI American National
Standards Institute) (OID, Object Identifier, por sus siglas en ingls);
VIII. SAT: el Servicio de Administracin Tributaria, y
IX. SE: la Secretara de Economa.
Disposiciones
TERCERA.- La estructura de los certificados digitales que emitan las AC debe considerar los estndares
internacionales ISO/IEC 9594-8:2014 The Directory: Public-key and attribute certificate frameworks y RFC
5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
actualizado con el RFC 6818 y contendr, cuando menos, los campos que a continuacin se indican:
I. Nmero de Serie: incorporar un nmero entero positivo;
II. AC que lo emiti: identificar a la AC con un nombre distintivo (DN Distinguished Name) de tipo
Name del estndar X.509 con los atributos siguientes:
ATRIBUTOS TIPO LONGITUD DESCRIPCIN
commonName (CN) PrintableString o 64 Nombre de la AC
UTF8String
organizationName (O) PrintableString o 64 Nombre de la organizacin o
UTF8String razn social
organizationalUnitName (OU) PrintableString o 64 Nombre de la unidad dentro de la
UTF8String organizacin
EmailAddress (E) IA5String 128 Correo electrnico de la
organizacin
StreetAddress PrintableString o 128 Calle, nmero y colonia de la
UTF8String organizacin
PostalCode PrintableString o 40 Cdigo postal de la organizacin
UTF8String
CountryName (C) PrintableString 2 Pas
State (S) PrintableString o 128 Entidad federativa
UTF8String
LocalityName (L) PrintableString o 128 Municipio o delegacin
UTF8String
III. Algoritmo de firma: contendr el identificador del algoritmo criptogrfico utilizado por la AC para
firmar el certificado digital.
El algoritmo utilizado para firmar el certificado digital deber ser SHA256 con RSA o el estndar
que en su momento la Secretara, la SE y el SAT determinen y publiquen a travs de sus portales
institucionales, mismo que se deber usar tanto para la firma de la AC como para la del particular, a
fin de proveer un nivel adecuado de seguridad;
IV. Vigencia: contendr la fecha de inicio y la de trmino del periodo de validez del certificado digital.
Las AC deben utilizar el formato UTCTime (YYMMDDHHMMSSZ);
V. Nombre del titular del certificado digital: identificar al titular del certificado digital con un
nombre distintivo (DN Distinguished Name) de tipo Name del estndar X.509, con los siguientes
atributos y valores:
ATRIBUTOS TIPO LONGITUD DESCRIPCIN
commonName (CN) UTF8String 64 Nombre del titular del certificado
digital
serialNumber (SN) PrintableString 64 CURP del titular del certificado digital
CountryName (C) PrintableString 2 Pas
X500uniqueIdentifier BIT STRING Opcional
(2.5.4.45) Registro Federal de Contribuyentes
del titular del certificado digital
EmailAddress (E) IA5String 128 Correo electrnico del titular del
certificado digital
VI. Clave pblica: contendr la clave pblica y el identificador de algoritmo (contenido en el campo
algoritmo de firma), deber tener un tamao mnimo de 2048 bits para certificados digitales
emitidos a particulares, y por lo menos de 4096 bits para certificados digitales de las AC, y
VII. Requisitos adicionales:
a) Versin: deber contener la Versin 3 del estndar X.509 y
b) Extensiones: contendr la siguiente informacin:
ATRIBUTOS TIPO DESCRIPCIN
authorityKeyIdentifier No crtica Permite identificar la clave pblica
correspondiente a la clave privada que la AC
utiliz para firmar el certificado digital.
Usar slo el campo KeyIdentifier, el cual debe
contener los 256 bits del SHA-2 del valor
subjectPublicKey del certificado digital de la AC.
subjectKeyIdentifier No crtica Asigna un identificador de la clave pblica del
titular del certificado digital.
Debe contener los 256 bits del SHA-2 del valor
subjectPublicKey.
keyUsage Crtica Usos del certificado digital
Bit AC Titular
DigitalSignature S S
nonrepudiation S S
keyEncipherment N N
dataEncipherment S S
keyAgreement S S
keyCertSign S N
ATRIBUTOS TIPO DESCRIPCIN
cRLSign S N
encipherOnly N N
decipherOnly N N
basicConstraints Crtica Identifica si el titular del certificado digital es una
AC.
extendedKeyUsage No crtica Indica uno o ms propsitos de uso.
cRLDistributionPoint No crtica Indica cmo puede ser obtenida la Lista de
Certificados Revocados.
authorityInfoAccess No crtica Indica cmo acceder a la informacin de la AC y
sus servicios, aqu debe indicarse como mnimo
la direccin electrnica de consulta de la AC.
certificatePolicies Crtica OID asignado por la Secretara, quien deber
llevar un registro de los mismos.
Objetivo
Dotar a las AC de polticas y procedimientos a travs de los cuales ejerzan sus facultades, as como
promover la estandarizacin de su operacin a nivel nacional, con la finalidad de brindar un servicio eficaz,
eficiente y de calidad.
Alcance
El presente procedimiento es de aplicacin para el personal encargado de la emisin de los certificados
(en lo sucesivo Agentes Certificadores) de las Autoridades Certificadoras (AC).
Polticas de Operacin
Primera.- La AC debe tener disponible en su portal de Internet una seccin particular para Firma
Electrnica Avanzada que al menos contenga la siguiente informacin:
a. Requisitos para solicitar la generacin de la Firma Electrnica Avanzada, en trminos del artculo 18
de la Ley de Firma Electrnica Avanzada.
b. Direccin de las oficinas a las que debe acudir el solicitante.
c. Horarios de atencin.
d. Canales de comunicacin para la atencin de los solicitantes.
e. Esquema de atencin a Quejas, Sugerencias y Reconocimientos.
Segunda.- La AC debe garantizar que el personal (Agente Certificador) cuenta con la capacitacin
correspondiente para llevar a cabo las actividades para la emisin de certificados, adems de contar con los
elementos de confiabilidad correspondientes.
Tercera.- La AC debe llevar a cabo evaluaciones de conocimiento y confiabilidad a los Agentes
Certificadores en un periodo no mayor a 13 meses para garantizar el cumplimiento de la poltica previa.
Cuarta.- La AC debe garantizar que el personal que se separa del cargo de las actividades de certificacin
deje de tener acceso a los sistemas involucrados.
Quinta.- El personal relacionado con el proceso de emisin de certificados debe estar plenamente
identificado a travs de un gafete, en el que sea visible el nombre del personal, que debe portar durante el
proceso de atencin.
Sexta.- La AC debe contar con espacios destinados para la instalacin y operacin del Servicio de
Acreditacin de Identidad y Enrolamiento vigente, con la correspondiente sealizacin.
Sptima.- La AC debe garantizar que terceros y personal ajeno al proceso de emisin de certificados de
Firma Electrnica Avanzada no tenga acceso a los sistemas relacionados con dichos procesos.
Octava.- Para efectos del presente procedimiento se entiende por acreditacin de identidad: Al acto de
comparecencia del ciudadano solicitante del certificado de Firma Electrnica Avanzada ante la AC y exhibir la
documentacin sealada en la seccin de Firma Electrnica Avanzada de la pgina de Internet de la AC, la
cual el Agente Certificador cotejar y validar contra los sistemas Institucionales, para proceder a canalizarlos
a la Estacin de Enrolamiento para el Servicio de Acreditacin de Identidad y Enrolamiento.
Novena.- El Agente Certificador tendr la obligacin de verificar que el solicitante cuente con el archivo de
requerimiento *.req y el formato de solicitud de firma electrnica avanzada.
En el supuesto de que el solicitante no cuente con los mismos, se le deber apoyar para llenar la solicitud
y realizar la generacin del archivo de requerimiento *.req, al momento en que acuda a realizar el trmite.
Nota: Para efectos del llenado del formato de solicitud de firma electrnica avanzada, el solicitante que
opte por llenarlo a mano, podr utilizar tinta negra o azul, utilizando nicamente tinta azul al firmar el citado
formato por ambos lados, en caso que el solicitante no cuente con pluma de tinta azul, la AC deber
proporcionrsela.
Dcima.- Los datos y elementos de identificacin obtenidos en el trmite de Firma Electrnica Avanzada
formarn parte del sistema de Registro Nacional de Poblacin (RENAPO).
El Agente Certificador deber recabar los datos y elementos de identificacin de conformidad con el
Acuerdo por el cual se dan a conocer el Procedimiento Tcnico de Captura de Informacin y el Procedimiento
Tcnico de Intercambio de Informacin, as como sus respectivos anexos, publicado en el Diario Oficial de la
Federacin, por la Secretara de Gobernacin.
Dichos datos y elementos de identificacin sern dados a conocer por la Secretara, la SE y el SAT en sus
portales de internet.
La acreditacin de la identidad y la certificacin documental del trmite de generacin del certificado de
Firma Electrnica Avanzada del solicitante es responsabilidad del Agente Certificador, y debe estar completa
antes de que se canalice al solicitante a la estacin de enrolamiento para la toma de biomtricos, la
digitalizacin de la documentacin probatoria y la emisin del certificado de Firma Electrnica Avanzada.
Dcima primera.- La AC debe designar un responsable del proceso de emisin de certificados de Firma
Electrnica Avanzada, quin ser el encargado de supervisar la adecuada captura de los datos y elementos
de identificacin del solicitante y de garantizar que no exista inconsistencias o duplicidades de los datos y
elementos de identificacin.
Dcima segunda.- Cuando el Agente Certificador detecte inconsistencias o duplicidades en los datos y
elementos de identificacin, se deber rechazar el trmite e informar al solicitante que acuda ante la autoridad
correspondiente, para corregir la inconsistencia o duplicidad.
Dcima tercera.- La AC podr emitir certificados de Firma Electrnica Avanzada para los solicitantes que
se encuentren bajo ciertos supuestos especiales, siempre y cuando acrediten tal caracterstica, de
conformidad con las disposiciones jurdicas aplicables. De manera enunciativa mas no limitativa se mencionan
los certificados para los menores de edad que presten exclusivamente un servicio personal subordinado, los
menores de edad emancipados y los contribuyentes con incapacidad legal declarada judicialmente.
Dcima cuarta.- La AC debe llevar a cabo la toma de biomtricos, registro y validacin de los mismos
conforme al Procedimiento Tcnico de Captura de Informacin y el Procedimiento Tcnico de Intercambio de
Informacin, as como sus respectivos anexos publicados en el Diario Oficial de la Federacin, disponibles en
el portal de Internet de RENAPO.
Dcima quinta.- La AC debe emitir los certificados de Firma Electrnica Avanzada de acuerdo al estndar
que establecen las Disposiciones Generales.
Dcima sexta.- La AC debe enviar a la Autoridad Registradora los certificados de Firma Electrnica
Avanzada generados a fin de que se validen y se registren dentro de la infraestructura correspondiente para
su validacin.
Dcima sptima.- La AC debe resguardar de forma digital toda la documentacin comprobatoria que
acredita la identidad del solicitante en su carcter de persona fsica, as como el documento mediante el cual
el solicitante confirma la recepcin o entrega de la Firma Electrnica Avanzada de forma segura y secreta.
Dcima octava.- La AC debe contar con un expediente electrnico por cada solicitante, asimismo debe
mantener una bitcora electrnica de los registros o movimientos que se efectan en el da por cada Agente
Certificador y mantenerlos bajo resguardo.
Dcima novena.- La AC deber hacer del conocimiento del solicitante los siguientes trminos y
condiciones, los cuales deben estar impresos en el formato de solicitud, mismos que deben ser firmados de
forma autgrafa por el solicitante:
Trminos:
El suscrito, cuyos datos generales aparecen al anverso de la solicitud de Certificado Digital de
Firma Electrnica Avanzada, y a quien en lo sucesivo se le denominar como El Solicitante para
todos los efectos legales que deriven del presente documento a que haya lugar, manifiesta ante
<poner aqu el nombre de la AC>, a quien en lo sucesivo se le denominar como La Autoridad
Certificadora (AC), que es su libre voluntad contar con un Certificado Digital de Firma Electrnica
Avanzada en el que conste la clave pblica que se encuentra asociada a la clave privada y frase de
seguridad que manifiesta haber generado previamente y en absoluto secreto, sin que persona alguna
lo haya asistido durante dicho proceso.
Asimismo manifiesta su conformidad en que La AC utilice el procedimiento de certificacin de
identidad que establece el Procedimiento Tcnico de Captura de Informacin, publicado en el Diario
Oficial de la Federacin.
La AC manifiesta que los datos personales recabados de El Solicitante durante su
comparecencia sern protegidos, incorporados y tratados en el sistema <poner aqu el nombre del
sistema de enrolamiento>, con fundamento en <poner aqu fundamento legal vigente>, y cuya
finalidad es garantizar el vnculo que existe entre un Certificado Digital de Firma Electrnica
Avanzada y su titular, el cual fue registrado en el Listado de Sistemas de Datos Personales ante el
Instituto Nacional de Transparencia, Acceso a la Informacin y Proteccin de Datos Personales
ifai.org.mx, y sern transmitidos al Registro Nacional de Poblacin, para la conformacin del
Sistema Integral del Registro Nacional de Poblacin.
La Unidad Administrativa responsable de este sistema es <poner nombre aqu>. El Solicitante
podr ejercer los derechos de acceso y correccin de datos a travs de <poner aqu el mecanismo o
ubicacin del inmueble en donde se pueden ejercer estos derechos>. Lo anterior se informa en
cumplimiento del DECIMOSPTIMO de los Lineamientos de Proteccin de Datos Personales,
publicados en el Diario Oficial de la Federacin el 30 de septiembre de 2005.
El Solicitante reconoce que para la emisin del referido Certificado Digital de Firma Electrnica
Avanzada, La AC revis la documentacin que se indica en el anverso de este documento, con la
cual El Solicitante se identific, constatando a simple vista que los documentos corresponden a los
rasgos fisonmicos y caligrficos de El Solicitante, por lo que este ltimo asume la responsabilidad
exclusiva respecto de la autenticidad de los datos y documentacin por l proporcionada a La AC.
De la misma forma El Solicitante asume la responsabilidad exclusiva del debido uso del Certificado
Digital de Firma Electrnica Avanzada.
El Solicitante en este acto acepta el Certificado Digital mencionado, sirviendo este documento
como el acuse de recibo.
Adicionalmente, El Solicitante acepta que el uso de la clave privada y frase de seguridad con base
en las cuales dicho certificado fue elaborado, quedarn bajo su estricta y absoluta responsabilidad, la
cual incluye en forma enunciativa, los daos y perjuicios, incluso aqullos de carcter financiero, que
pudieran causarse por su uso indebido, no pudiendo alegar que tal uso se realiz por persona no
autorizada.
El Solicitante conoce y acepta que la clave pblica proporcionada por l y contenida en el
Certificado Digital de Firma Electrnica Avanzada, as como en cualquier otro certificado digital que
con posterioridad se obtenga, ser de carcter pblico y podr ser consultada libremente por
cualquier interesado a travs de los medios y formas que disponga La AC.
Por lo anterior, El Solicitante se obliga a mantener absoluta confidencialidad respecto de las
aludidas clave privada y frase de seguridad, as como a realizar los trmites necesarios para la
revocacin de dicho certificado ante La AC, mediante los mecanismos y procedimientos que el
mismo establezca, en el evento de que por cualquier causa dicha informacin sea divulgada o se
realice cualquier supuesto por el que El Solicitante deba solicitar su cancelacin en los trminos de
las disposiciones jurdicas aplicables.
Por otra parte El Solicitante manifiesta conocer el contenido y alcance de las disposiciones
jurdicas relativas a la celebracin de actos jurdicos mediante el uso de medios electrnicos,
digitales o de cualquier otra tecnologa, por lo que asume plena responsabilidad respecto de la
informacin y contenido de todo documento electrnico o digital elaborado y enviado en el que se
haga uso de la citada clave privada, toda vez que por ese solo hecho se considerar que el
documento electrnico o digital le es atribuible.
El Solicitante reconoce y acepta que La AC nicamente es responsable de los errores que, en su
caso, llegaren a cometer bajo su responsabilidad en el proceso de generacin, registro, entrega y
revocacin del Certificado Digital, segn corresponda, as como que no ser responsable por los
daos y perjuicios que se pudieran causar a El Solicitante o a terceros, cuando por caso fortuito o
fuerza mayor no puedan realizarse registros, verificaciones, revocaciones o tramitar documentos
electrnicos cifrados con las claves pblicas y privadas relacionadas con dicho certificado. Para
efectos de lo anterior por caso fortuito o fuerza mayor se entender todo acontecimiento o
circunstancia inevitable, ms all del control razonable de La AC, que le impida el cumplimiento de
sus funciones con el carcter que le corresponde.
El Solicitante reconoce a travs de su firma autgrafa asentada en el espacio designado para ello
en el anverso y reverso de este formato, al presente como prueba fehaciente de la aceptacin de
todo lo especificado en el mismo.
Condiciones:
El Certificado Digital que se genere derivado de la realizacin de este trmite, estar disponible en
<poner aqu direccin electrnica>; para que El Solicitante realice la descarga del mismo.
La Firma Electrnica Avanzada asignada es personal e intransferible y el uso de la misma es
responsabilidad de El Solicitante.
La Firma Electrnica Avanzada tendr los mismos alcances y efectos que la firma autgrafa.
Con esta firma podr hacer uso de servicios y trmites electrnicos disponibles en los cuales se
reconozca el Certificado Digital de Firma Electrnica Avanzada.
El Solicitante ser responsable de las obligaciones derivadas del uso de su firma.
El Solicitante acepta que deber notificar oportunamente a La AC, la invalidacin, prdida o
cualquier otra situacin que pudiera implicar la reproduccin o uso indebido de su clave privada.
El Solicitante acepta las condiciones de operacin y lmites de responsabilidad de <poner aqu el
nombre de la AC> en su calidad de La AC que se encuentran disponibles en la direccin electrnica
<poner aqu la direccin electrnica> para su consulta.
Actividades del procedimiento y su detalle
DETALLE DE LA Generacin de la llave privada [*.key] y archivo de requerimiento [*.req] para la Firma
ACTIVIDAD Electrnica Avanzada
Dotar a las Autoridades Certificadoras (AC) de polticas y procedimientos a travs de los cuales ejerzan
sus facultades, as como promover la estandarizacin de su operacin a nivel nacional, con la finalidad de
brindar un servicio eficaz, eficiente y de calidad.
Alcance
El presente procedimiento es de aplicacin para los Agentes Certificadores de las AC.
Polticas de Operacin
Primera.- La revocacin de los Certificados Digitales de Firma Electrnica Avanzada se podr realizar en
la oficina de la AC.
Segunda.- El Agente Certificador deber acreditar la identidad del solicitante, a travs de la validacin de
las huellas dactilares.
Se deber corroborar con el solicitante o representante legal, segn sea el caso los datos de: RFC, CURP
y nombre.
Cuarta.- Para efectos de lo dispuesto en el artculo 19 de la Ley de Firma Electrnica Avanzada, los
motivos para la revocacin de certificados digitales sern:
2. Cambio de nombre.
Quinta.- El Agente Certificador deber requerir el escrito libre de solicitud de revocacin, mismo que
especificar la causa por la cual se solicita la revocacin del Certificado Digital. El Agente Certificador
proceder conforme a lo siguiente:
Sexta.- El Agente Certificador orientar al solicitante para que revoque su certificado utilizando el portal de
Internet de la AC.
Actividades del procedimiento y su detalle
DETALLE DE LA Revocacin de Certificados Digitales de Firma Electrnica
ACTIVIDAD Avanzada
Responsable involucrados
Puesto / Rol Tarea Descripcin de la tarea Documentos
Responsable involucrados
documentacin:
Identificacin oficial del
revocacin.
dactilares.
revocacin de certificado
Agente Certificador 7. Entrega al solicitante copia del escrito libre, el Escrito libre
revocacin de certificado
expediente fsico.
Por medio del presente y en apego al xxxxxxxxxxxxxxx solicito a esta autoridad realice la revocacin del
Certificado Digital de Firma Electrnica Avanzada con nmero de serie
00001000000___________________________ por motivo de
_______________________________________________.
ATENTAMENTE
_______________________________________
_______________________________________
C.
Objetivo
Dotar a las AC de polticas y procedimientos a travs de los cuales ejerzan sus facultades, as como
promover la estandarizacin de su operacin a nivel nacional, con la finalidad de brindar un servicio eficaz,
eficiente y de calidad.
Alcance
El presente procedimiento es de aplicacin para los Agentes Certificadores de las Autoridades
Certificadoras (AC).
Polticas de operacin.
Primera.- La renovacin de los certificados digitales se podr realizar en la oficina de la AC.
Segunda.- El Agente Certificador deber acreditar la identidad del solicitante, a travs de la validacin de
las huellas dactilares.
Se deber corroborar con el solicitante, segn sea el caso los datos de: RFC, CURP y, nombre.
Tercera.- El Agente Certificador tendr la responsabilidad de integrar al expediente electrnico
correspondiente para la generacin de la Firma Electrnica Avanzada, la documentacin que respalda el
trmite de renovacin.
Sexta.- El Agente Certificador orientar al solicitante para que renueve su certificado utilizando el portal de
Internet de la AC.
Actividades del procedimiento y su detalle
Usuario
Requisitos de renovacin:
Correo electrnico.
Agente Certificador
Periodicidad /
rea de Sub-rea de ID
Control Interpretacin del Control Parmetro Entrega esperada
Control Control Control
Requerido
Entendimiento del 1 Contexto del negocio Parmetros internos y Al inicio de solicitud. Documento con la
negocio en donde ste externos del ambiente AC, descripcin del contexto
pretende alcanzar sus establecer el alcance y de negocio.
criterios de riesgos.
Se espera un documento
donde se identifique el
objetivos. contexto donde la AC se va
a desenvolver, los factores
que pueden afectar, los
riesgos, factores de cambio.
Requerimientos de negocio
de los distintos participantes
involucrados en el proceso
de prestacin de servicios.
Requerimientos de
Ej. Gobierno, INAI
negocio de los Documento y mapa de
2 Solicitante, Negocio. Al inicio de solicitud.
distintos participantes requerimientos.
Se espera un documento en
(internos y externos)
donde se especifique qu
requerimientos existen para
que el negocio pueda
operar.
3. Objetivos, indicadores
claves de cumplimiento y
* Documento con el
mtricas.
proceso de negocio.
4. Entradas y salidas del
* Documento con
proceso. (Diagrama)
objetivos, indicadores
5. Roles, responsabilidades Al inicio de solicitud,
claves de cumplimiento y
y competencias del personal posteriormente
mtricas.
que interviene en el proceso. actualizaciones cada
Definir alcance de los * Documento con
6. Recursos que intervienen que existan cambios
3 objetivos y procesos Entradas y salidas del
en la ejecucin del proceso. en los procesos.
de negocio. proceso.
(organigrama) Deben cumplir con
* Estndares, normas o
7. Tareas que se ejecutan en COBIT, TOGAF o
buenas prcticas a las
el proceso. equivalente.
que est alineado el
8. Indicadores y mtricas
proceso.
que demuestren que el
* Monitoreo y evaluacin
proceso se realiza de forma
del proceso.
eficiente.
9. Estndares, normas o
buenas prcticas a las que
est alineado el proceso.
Liderazgo de la Alta 4 Liderazgo y 1. Se deben tener objetivos Al inicio de solicitud, * Documento con la
Direccin compromiso y una poltica de seguridad posteriormente incorporacin de la
de la informacin de alto actualizaciones cada estrategia de seguridad
nivel compatible con la que existan cambios en la del negocio.
estrategia de negocio en las directivas y * Documento con los
corporativa dentro del polticas de recursos asignados.
alcance de los servicios del seguridad.
* Documento con el
negocio. Deben cumplir con programa de seguridad
2. Asegurar que los ISO27000, Risk IT o de la informacin.
requerimientos de la equivalente.
* Documento de reporte
seguridad de la informacin
de asignacin y
estn integrados a los
supervisin de avance
procesos organizacionales
del programa de
relacionados con los
seguridad de la
servicios del negocio.
informacin.
3. Asegurar que se
proporcionen los recursos
requeridos para mantener la
seguridad de la informacin
del negocio.
4. Comunicar en forma
efectiva la importancia de
mantener los niveles
adecuados de seguridad de
informacin y se conforme
con todo lo solicitado por la
Secretara, con el apoyo
tcnico de la Secretara de
Economa y el Servicio de
Administracin Tributaria, en
este rubro.
5. Asegurar que los
requerimientos de seguridad
de la informacin alcancen
sus objetivos.
6. Dirigir y liderar los roles
gerenciales para contribuir a
la efectividad en el
cumplimiento de los
requerimientos de seguridad
y la mejora continua de su
gestin.
Al inicio de solicitud,
La AC debe contar con un posteriormente
Debe de implementar un
documento de Poltica de actualizaciones cada
Sistema de Gestin de
Seguridad de la Informacin que existan cambios
Seguridad de la
Poltica de seguridad autorizado, en las directivas y
5 Informacin (SGSI),
de la informacin el cual debe estar publicado polticas de
protocolizado de
y disponible para el personal seguridad.
conformidad a ISO27000
interno y terceros que Deben cumplir con por lo menos.
colaboren con la AC. ISO27000, Risk IT o
equivalente.
1. Poltica de seguridad de la
informacin. - Contiene los
lineamientos generales de
Polticas alineadas a
las polticas de informacin.
mejores prcticas. La
2. Poltica de la organizacin Al inicio de solicitud, Autoridad Certificadora
de la seguridad de la posteriormente debe contar con un
informacin. actualizaciones cada documento de Poltica de
Contiene los lineamientos que existan cambios Seguridad de la
bajo los cuales se rige la en las directivas y Informacin autorizado,
seguridad de la informacin. polticas de debe estar publicada y
Polticas especficas 3. Poltica para seguridad de seguridad. disponible para el
6 de seguridad de la los recursos humanos. - Deben cumplir con personal interno y
informacin Polticas relacionadas a la ISO27000, Risk IT o terceros que colaboren
administracin del recurso
equivalente. con la empresa.
humano.
*Las polticas Debe de implementar un
4. Poltica de gestin de
debern ser Sistema de Gestin de
activos. - Polticas que
revisadas por lo Seguridad de la
definirn el proceso con lo
menos una vez al Informacin (SGSI),
cual se gestionarn los
ao. protocolizado de
activos.
conformidad a ISO27000
5. Poltica de control de por lo menos.
accesos. - Poltica que
detalla el acceso a las
diferentes instalaciones.
6. Poltica de criptografa. -
Poltica de uso de
criptografa en aplicaciones
y servicios.
7. Poltica de seguridad
fsica y ambiental. - Polticas
que rigen la seguridad fsica
y ambiental de las distintas
instalaciones.
8. Poltica de seguridad en
las operaciones. - Polticas
con las consideraciones de
seguridad para las
operaciones diarias.
9. Poltica de seguridad en
las comunicaciones. -
Polticas que rigen las
comunicaciones para los
activos que participan en el
proceso.
10. Poltica para la
adquisicin, desarrollo y
mantenimiento de sistemas.
Las polticas que tienen
impacto en la operacin, los
nuevos sistemas y su
impacto en los mismos.
11. Poltica de relaciones
con los proveedores.
Las polticas que rigen el
trato con los proveedores as
como las implicaciones de
seguridad que se deben
considerar.
12. Poltica para la gestin
de incidentes de seguridad
de la informacin
Poltica que regir la gestin
del incidente, desde que se
presenta el mismo.
13. Poltica para la gestin
de los aspectos de
seguridad de la informacin
en la continuidad de
negocio.
Poltica con las
consideraciones que se
tomarn para el desarrollo
del plan de continuidad del
negocio (por sus siglas en
ingls BCP, Bussiness
Continuity Plan).
14. Poltica para el
cumplimiento. - Reglas que
se van a tomar en cuenta
para el seguimiento y
cumplimiento de las
normativas de la AC.
'15. Poltica de uso de
contraseas.
La AC debe contar con una
poltica de uso de
contraseas, donde se
especifique la
responsabilidad de los
usuarios en el uso de las
mismas, caducidad y
proteccin de las mismas.
Gestin de administracin
del riesgo:
Lo anterior es enunciativo
mas no limitativo.
Gestin de riesgos 9 Metodologa para la 1. Nivel de riesgo aceptable. Deben cumplir con Documento con la
gestin de riesgos 2. Proceso de valoracin de ISO27000, Risk IT o metodologa a seguir.
riesgos: equivalente.
2.1 Identificacin de
riesgos.
3. Proceso de tratamiento de
riesgo:
3.2 Declaracin de
aplicabilidad de los controles
de seguridad de la
informacin.
3.2.1 Determinar la
aplicacin o no de los
controles as como las
razones para su aplicacin o
no aplicacin.
3.2.2 Determinar si el
control est operando as
como su efectividad. En
caso contrario, mostrar su
plan de despliegue
correspondiente.
3. Deben de tomar en
cuenta los requerimientos de
seguridad de la informacin,
resultados de anlisis de
riesgos propios y
tratamientos de los riesgos.
4. Deben de estar
comunicados en la AC.
5. Deben de estar
actualizados. Documento y plan de
Objetivos de Deben cumplir con
Objetivos y 6. Deben incluir un Plan de trabajo con los objetivos
11 seguridad de la ISO27000, Risk IT o
competencias trabajo para su cumplimiento de la seguridad de la
informacin equivalente.
6.1 Qu es lo que se va a informacin.
hacer?
6.4 Cundo se va a
completar?
12 Competencias 1. Las personas que Deben cumplir con Documento con las
participan en los servicios ISO27000, Risk IT o competencias por rol y
del negocio o son
encargados de la seguridad
de la informacin debern
tener la competencia equivalente.
requerida para desempear Presentar currculos
sus funciones. (Con base a acompaados de las
su experiencia, educacin certificaciones
plan de capacitacin.
y/o entrenamiento respaldo de las
adecuado) competencias en
2. Plan de capacitacin o Seguridad de la
entrenamiento para alcanzar Informacin.
o retener las competencias
requeridas para desempear
las funciones.
La AC debe de determinar
las necesidades de
comunicacin interna y
externa relevante para la
administracin del sistema
de seguridad de la
informacin en la cual se
Gestin de debe de incluir lo siguiente:
comunicacin de 1. Qu es lo que se debe Deben cumplir con
seguridad de la de comunicar? Documento que detalle la
Comunicacin 13 ISO27000, Risk IT o
informacin con gestin de comunicacin.
2. Cundo se debe de equivalente.
entidades internas y
comunicar?
externas.
3. A quin se le debe de
comunicar?
4. Quin lo debe de
comunicar?
5. Los procesos que pueden
ser afectados por la
comunicacin.
Planear, implementar y
controlar los requerimientos Plan operativo de
y objetivos de seguridad de seguridad de la
Deben cumplir con
Operacin de la informacin. Debe de informacin, controles de
15 Operacin ISO27000, 31000,
seguridad considerar el control de cambio, controles de
Risk IT o equivalente.
cambios, as como plan de seguridad de la
accin para mitigar cualquier informacin.
efecto adverso.
Monitoreo y auditora
rea de control: Evaluacin del rendimiento de la Seguridad de la Informacin en la AC
La AC deber evaluar si el
desempeo y efectividad de
su servicio y la seguridad se
encuentran acorde a sus
polticas y procesos:
1. Determinar qu se debe
de monitorear y medir.
2. Determinar qu mtodos
se van a utilizar para
monitorear, medir, analizar y
evaluar.
3. Determinar cundo se
deben de monitorear y
Documento de gestin de
medir. Deben cumplir con
Monitoreo, medicin, monitoreo, reportes de
16 4. Determinar quin debe de ISO27000, Risk IT o
anlisis y evaluacin. operacin y atencin a
monitorear y medir. equivalente.
desviaciones.
5. Determinar cundo se
revisarn los resultados de
monitoreo.
* Se debe de considerar el
servicio ofrecido al
solicitante y su operacin
interna.
La auditora evaluar el
cumplimiento de los
objetivos o requerimientos
de seguridad de la
informacin que se hayan
trazado, lo efectivo y eficaz
que hayan implementado los
controles de seguridad de la
informacin para gestionar
los riesgos.
Se deber revisar el
cumplimiento de la matriz
presente.
Se deber planear,
establecer e implementar un
plan de auditora, que
incluya frecuencia,
seguimiento del resultado de
las auditoras y responsable
de las actividades.
Certificaciones,
constancias de asistencia
La AC debe estar en
a cursos de seguridad,
contacto con grupos Cumplir con el
Contacto con Grupos subscripciones con
20 especializados en seguridad proceso ASI del
de Inters Especial autoridades en seguridad
y/o asociaciones MAAGTICSI.
como en NIST, SANS,
profesionales.
ENISA, ISO, CERTs,
etc.
Como mnimo se
deber considerar lo
establecido en la Ley
La AC debe contar con una
Federal de
poltica y procedimientos Poltica con clasificacin
Poltica de Proteccin de Datos
formales para la clasificacin de la informacin en:
21 Clasificacin de la Personales en
de la informacin de acuerdo pblica, reservada y
Informacin Posesin de los
a su relevancia o confidencial.
Particulares y el
sensibilidad.
artculo 69 del Cdigo
Fiscal de la
Federacin.
Seguridad en el Personal
Personal Interno 23 Seleccin del Se debe llevar a cabo la Cada que se contrata Cartas de antecedentes
Personal verificacin de antecedentes personal nuevo. no penales de los
de todos los candidatos a empleados.
puestos internos de la AC. Certificaciones
correspondientes al perfil
y rol del puesto.
El personal deber
aprobar un examen de
control de confianza,
para todas las reas:
administrativas, tcnicas
y operativas, debiendo
realizarlo al menos cada
2 aos.
Seguridad Fsica 30 Permetro de Se deben utilizar permetros Deben cumplir con * CCTV.
Seguridad Fsica de seguridad (barreras tales ISO27000, * Custodia de las
como paredes y puertas de ISO31000, Risk IT o oficinas.
ingreso controlado, policas equivalente.
* Bitcora de acceso.
o recepcionistas) para
proteger reas operativas y
de oficina que contienen
informacin de la AC.
Incidentes y Problemas.
* Procedimientos de
La AC debe contar con notificacin en caso de
procedimientos de Incidentes.
Notificacin a la notificacin a la Secretara, o Deben cumplir con
* Matriz de escalamiento
Secretara, o en su en su caso, a la SE o al SAT, ISO27000,
33 de incidentes.
caso, a la SE o al en caso de Incidentes o ISO31000, Risk IT o
* Directorio telefnico de
SAT problemas que puedan equivalente.
contactos de la AC.
comprometer la informacin
de los ciudadanos. * Directorio telefnico de
contactos.
- Comportamiento anormal
de los equipos.
BCP 35 Plan de Continuidad La AC debe contar con un Deben cumplir con BCP derivado de un BIA.
del Negocio BCP documentado y ISO27031 e
aprobado. ISO22301.
2.- Proceso de
Almacenamiento.
Lista de
La AC deber de
certificados Disponibilidad del
implementar el servicio de
revocados (CRL, Debe cumplir RFC servicio 99.999%,
45 Servicio de CRL CRL pblico para validacin
por sus siglas en 5280. actualizado cada 12
de certificados revocados de
ingls, Certificate horas al menos.
firma electrnica avanzada
Revocation List)
- reas de acceso
restringido.
- Rutas de evacuacin.
Informacin de sensores
de humo, aspersores,
El centro de datos debe Contar con sensor de humedad,
Medidas contra
54 contar con medidas de certificacin TIERIV extintores o cualquier
Incendios
proteccin contra incendios. o equivalente. otro mecanismo de
medidas contra
incendios.
Controles
Contrato del
Ambientales El centro de datos debe Contar con
mantenimiento de los
55 Aire Acondicionado contar con un sistema de certificacin TIER-IV
sistemas de aire
aire acondicionado. o equivalente.
acondicionado.
* Configuracin de las
reglas o listas de control
La red debe estar protegida de acceso del FW.
Deben cumplir con
con dispositivos de
60 Proteccin Perimetral ISO27000 e ITIL o * Proceso de gestin del
Comunicaciones seguridad que apliquen
equivalente. FW.
listas de control de acceso.
* Control de acceso al
FW.
Lneas Base de 62 Lneas Base de El aplicativo debe tener Deben cumplir con Documento con
Seguridad Seguridad aplicada una lnea base de ISO27000 e ITIL o configuracin y lnea
(Endurecimiento y seguridad que debe incluir equivalente. base de seguridad del
Actualizacin) como mnimo: aplicativo, listado de
- Implementacin de activos, versin del
autenticacin de los usuarios sistema.
(internos o clientes).
- Implementacin de
mecanismo de no repudio de
transacciones.
- Proteccin contra inyeccin
de cdigo.
- Inicio de sesin seguro.
- Validacin de datos de
entrada / salida para evitar
errores en el procesamiento
de la informacin.
- Manejo de errores.
- Endurecer el sistema.
(Hardening)
Los activos (aplicativos,
servidores, bases de datos,
dispositivos de red, etc.) del
centro de datos que dan
soporte al proceso de AC
deben contar con lneas
base de seguridad
documentadas e
implementadas, que
consideren como mnimo:
- Proteccin del BIOS en
arranque de los sistemas.
- Deshabilitacin de
unidades de
almacenamiento removibles.
- Instalacin del S.O. en
particin exclusiva.
- Inhabilitacin de puertos,
protocolos usuarios y
servicios innecesarios.
- Recomendaciones de
seguridad del fabricante del
equipo y sistema operativo.
67 Proteccin de Medios Los medios donde se Deben cumplir con * Cifrado de los
de Respaldo almacenan los respaldos ISO27000 e ITIL o respaldos.
debern estar protegidos en
un rea especfica para este * Responsables que
- Actas de destruccin o
borrado firmadas por el
personal que lo realiza.
- Registro de Hashes de
Control.
Se deben realizar,
documentar y dar
Deben cumplir con Plan de pruebas de
seguimiento a pruebas de
Pruebas de ISO27000, seguridad, reportes de
71 seguridad en los activos que
Seguridad ISO31000, Risk IT o las pruebas de seguridad
dan soporte al proceso de
equivalente. y hallazgos.
AC al igual que al propio
aplicativo de AC.
Se debe de especificar un
procedimiento por medio del
Procedimiento de cual la Secretara, o en su Deben cumplir con
Acceso a base de Documento que contenga
80 acceso a la base de caso la SE o el SAT, puedan ISO27000 e ITIL o
datos el proceso.
datos tener acceso a las bases de equivalente.
datos de informacin de la
AC.
Cumpliendo con
(segn aplique):
RFC 5905: Network
Time Protocol Version
4: Protocol and
Algorithms
Specification.
RFC 5906: Network
Las transacciones de Time Protocol Version
timbrado del proceso de AC 4: Autokey
Configuracin y uso de
Servidor de tiempo 81 NTP deben estar sincronizadas Specification.
servidor de tiempo.
usando un servidor de NTP RFC 5907:
con GPS. Definitions of
Managed Objects for
Network Time
Protocol Version 4
(NTPv4).
RFC 5908: Network
Time Protocol (NTP)
Server Option for
DHCPv6.
Encripcin de 82 Encripcin de datos Debe existir una poltica y Deben cumplir con Documentos,
Datos del solicitante. procedimientos formales que ISO27000, procedimiento, mejores
aseguren el manejo de la ISO31000, Risk IT o prcticas.
informacin y los datos equivalente.
personales de los
solicitantes. Los cuales
deben estar encriptados
tanto en su almacenamiento,
trnsito y medios que los
contengan.
Deber de existir un
procedimiento de resguardo
de certificados apegado a
las mejores prcticas.
Poltica de cifrado de
informacin y gestin de las
llaves pblicas y privadas.
Se deben de contemplar por
lo menos los requerimientos
para la proteccin de datos
personales en posesin de
particulares, de conformidad
con las disposiciones
jurdicas aplicables en la
materia.
84 Implementar Debe existir una poltica y Deben cumplir con Documento con polticas,
controles de procedimientos para llevar a ISO27000, procedimientos y
validacin de cabo la validacin de la ISO31000, Risk IT o reportes.
seguridad de la seguridad del aplicativo. equivalente.
aplicacin. Considerando las pruebas
de seguridad para al menos
los siguientes rubros:
A6: Security
Misconfiguration.
Uso de catlogos.
Validacin de entradas.
Codificacin de salidas.
Implementar
Validacin y administracin Documento con las
controles de
de contraseas. Deben cumplir con polticas y
validacin de
85 Administracin de sesin. ISO27000 e ITIL o procedimientos para
seguridad de datos
equivalente. llevar a cabo la validacin
para el flujo de la Prcticas de criptografa.
de los datos ingresados.
aplicacin. Administracin de errores y
accesos.
Proteccin de datos.
Seguridad de la
comunicacin.
Seguridad en la base de
datos.
Administracin de archivos.
Mejores prcticas de
codificacin.
Se debern registrar y
reportar niveles de servicio
de la aplicacin. Se debe de
contar con un procedimiento
documentado de cmo se
capturan y reportan los
Debern mantenerse
Niveles de Servicio.
SLAs 86 y registrarse los Mensual. Reporte.
Se deber generar un
niveles de servicio
reporte con los Niveles de
Servicio de forma mensual.
El mnimo requerimiento de
nivel de servicio es del
99.99% de disponibilidad
mensual.
Debe de existir un
procedimiento para la
consulta en lnea de las
Implementar un
bitcoras del aplicativo, el
Consulta de la medio de consulta de Procedimiento de acceso
87 cual deber de tener Diario.
Secretara bitcora para la y reportes.
controles de seguridad as
Secretara.
como implementacin de
mejores prcticas de
seguridad.
El representante legal de la
AC debe presentar un
documento donde afirme
que conoce y respetar el
apego a las leyes y dems
instrumentos jurdicos
aplicables vigentes.
Regulatorio materia.