Você está na página 1de 42

DISPOSICIONES Generales de la Ley de Firma Electrnica Avanzada.

DOF 21/10/2016
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretara de Economa.-
Secretara de la Funcin Pblica.- Servicio de Administracin Tributaria.
ILDEFONSO GUAJARDO VILLARREAL, Secretario de Economa; JAVIER VARGAS ZEMPOALTECATL,
Subsecretario de Responsabilidades Administrativas y Contrataciones Pblicas de la Secretara de la Funcin
Pblica en ausencia del Secretario de la Funcin Pblica y OSVALDO ANTONIO SANTN QUIROZ, Jefe del
Servicio de Administracin Tributaria, con fundamento en lo dispuesto por los artculos 17, 31 fraccin XXXIV,
34 fraccin XXXIII y 37 fracciones XXII y XXIX de la Ley Orgnica de la Administracin Pblica Federal; 5
segundo prrafo; 2 fraccin I del Reglamento de la Ley de Firma Electrnica Avanzada; 1, 7 fraccin XVIII y 14
fraccin I de la Ley del Servicio de Administracin Tributaria, en relacin con el Artculo Tercero Transitorio del
Decreto por el que se reforman, adicionan y derogan diversas disposiciones contenidas en la Ley del Servicio
de Administracin Tributaria publicado en el Diario Oficial de la Federacin el 12 de junio del 2003; 5 fraccin
XVI del Reglamento Interior de la Secretara de Economa; 6 fraccin I, 7 fraccin XII y 86 del Reglamento
Interior de la Secretara de la Funcin Pblica, y 8 fraccin XXI del Reglamento Interior del Servicio de
Administracin Tributaria, y
CONSIDERANDO
Que con fecha 11 de enero de 2012 se public en el Diario Oficial de la Federacin la Ley de Firma
Electrnica Avanzada, la cual contempla en su artculo 5, segundo prrafo, que la Secretara de la Funcin
Pblica, la Secretara de Economa y el Servicio de Administracin Tributaria dictarn, de manera conjunta, las
disposiciones generales para el adecuado cumplimiento de la Ley mencionada;
Que con fecha 21 de marzo de 2014 se public en el Diario Oficial de la Federacin el Reglamento de la
Ley de Firma Electrnica Avanzada, el cual refiere en su artculo 2, fraccin I, a las Disposiciones Generales
como aquellas que se emitan en trminos del artculo 5 de la Ley de Firma Electrnica Avanzada;
Que resulta necesario determinar los requisitos, caractersticas, estndares y mecanismos tecnolgicos
que estn obligados a cumplir los interesados en obtener el carcter de Autoridades Certificadoras para la
emisin de los certificados digitales previstos en el artculo 24 de la Ley de Firma Electrnica Avanzada y la
prestacin de servicios relacionados; la estructura de los certificados digitales que emitan las Autoridades
Certificadoras; los requerimientos tcnicos que como mnimo debern contener los sistemas informticos de
las dependencias y entidades de la Administracin Pblica Federal para estar en posibilidad de llevar a cabo
el firmado de documentos electrnicos y, en su caso, mensajes de datos, as como la forma y trminos en que
las Autoridades Certificadoras proporcionarn a las dependencias y entidades los servicios relacionados con
la firma electrnica avanzada, por lo que hemos tenido a bien emitir las siguientes
DISPOSICIONES GENERALES DE LA LEY DE FIRMA ELECTRNICA AVANZADA
Objeto
PRIMERA.- Las presentes Disposiciones Generales tienen por objeto establecer:
I. Los requisitos, caractersticas, estndares y mecanismos tecnolgicos que debern cumplir las
dependencias y entidades de la Administracin Pblica Federal, as como los prestadores de
servicios de certificacin que estn interesados en obtener el carcter de Autoridad Certificadora
para la emisin de los certificados digitales previstos en la Ley de Firma Electrnica Avanzada y su
Reglamento, as como la autorizacin para la prestacin de servicios relacionados con la firma
electrnica avanzada;
II. La estructura que debern cumplir los certificados digitales que emitan las Autoridades
Certificadoras, previstos en el Ttulo Tercero, Captulo I de la Ley de Firma Electrnica Avanzada;
III. Los requerimientos tcnicos mnimos para que los sistemas informticos, as como las
herramientas tecnolgicas o aplicaciones de las dependencias y entidades de la Administracin
Pblica Federal puedan llevar a cabo el firmado de documentos electrnicos y, en su caso,
mensajes de datos en la realizacin de los actos y actuaciones a que se refiere la Ley y su
Reglamento;
IV. La manera en que se llevar a cabo la conservacin de los mensajes de datos y de los documentos
electrnicos con firma electrnica avanzada;
V. Las medidas y controles de seguridad que debern adoptar las Autoridades Certificadoras para
evitar la falsificacin, alteracin o uso indebido de Certificados Digitales;
VI. El destino de los registros y archivos generados por las Autoridades Certificadoras que hayan sido
suspendidas o revocadas de tal carcter;
VII. La forma y trminos en que las Autoridades Certificadoras proporcionarn a las dependencias y
entidades de la Administracin Pblica Federal, el servicio de consulta sobre el estado de validez,
de los certificados digitales que emitan, y
VIII. Cualquier otro servicio relacionado con la Firma Electrnica Avanzada.
Definiciones y acrnimos
SEGUNDA.- En adicin a las definiciones previstas en la Ley de Firma Electrnica Avanzada y en su
Reglamento, para efectos de las presentes Disposiciones Generales, se entender por:
I. AC: Autoridad Certificadora;
II. Claves criptogrficas: la clave pblica y la clave privada;
III. HTTP: Protocolo utilizado para el intercambio de informacin en Internet (Hyper Text Transfer
Protocol, HTTP por sus siglas en ingls);
IV. HTTPS: Protocolo seguro para el intercambio de informacin en Internet (Hyper Text Transfer
Protocol Secure, HTTPS por sus siglas en ingls);
V. MAAGTICSI: Manual Administrativo de Aplicacin General en las materias de Tecnologas de la
Informacin y Comunicaciones y de Seguridad de la Informacin, emitido por la Secretara y la
Secretara de Gobernacin como anexo nico del Acuerdo que tiene por objeto emitir las polticas y
disposiciones para la Estrategia Digital Nacional, en materia de tecnologas de la informacin y
comunicaciones, y en la de seguridad de la informacin, as como establecer el Manual
Administrativo de Aplicacin General en dichas materias;
VI. OCSP: Protocolo utilizado para obtener en tiempo real el estado actual de un certificado digital
(OCSP, Online Certificate Status Protocol, por sus siglas en ingls);
VII. OID: es el nmero que se asigna para identificar un objeto sin ambigedad, el cual se conforma de
acuerdo al estndar del Instituto Nacional Estadounidense de Estndares (ANSI American National
Standards Institute) (OID, Object Identifier, por sus siglas en ingls);
VIII. SAT: el Servicio de Administracin Tributaria, y
IX. SE: la Secretara de Economa.
Disposiciones
TERCERA.- La estructura de los certificados digitales que emitan las AC debe considerar los estndares
internacionales ISO/IEC 9594-8:2014 The Directory: Public-key and attribute certificate frameworks y RFC
5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
actualizado con el RFC 6818 y contendr, cuando menos, los campos que a continuacin se indican:
I. Nmero de Serie: incorporar un nmero entero positivo;
II. AC que lo emiti: identificar a la AC con un nombre distintivo (DN Distinguished Name) de tipo
Name del estndar X.509 con los atributos siguientes:
ATRIBUTOS TIPO LONGITUD DESCRIPCIN
commonName (CN) PrintableString o 64 Nombre de la AC
UTF8String
organizationName (O) PrintableString o 64 Nombre de la organizacin o
UTF8String razn social
organizationalUnitName (OU) PrintableString o 64 Nombre de la unidad dentro de la
UTF8String organizacin
EmailAddress (E) IA5String 128 Correo electrnico de la
organizacin
StreetAddress PrintableString o 128 Calle, nmero y colonia de la
UTF8String organizacin
PostalCode PrintableString o 40 Cdigo postal de la organizacin
UTF8String
CountryName (C) PrintableString 2 Pas
State (S) PrintableString o 128 Entidad federativa
UTF8String
LocalityName (L) PrintableString o 128 Municipio o delegacin
UTF8String
III. Algoritmo de firma: contendr el identificador del algoritmo criptogrfico utilizado por la AC para
firmar el certificado digital.
El algoritmo utilizado para firmar el certificado digital deber ser SHA256 con RSA o el estndar
que en su momento la Secretara, la SE y el SAT determinen y publiquen a travs de sus portales
institucionales, mismo que se deber usar tanto para la firma de la AC como para la del particular, a
fin de proveer un nivel adecuado de seguridad;
IV. Vigencia: contendr la fecha de inicio y la de trmino del periodo de validez del certificado digital.
Las AC deben utilizar el formato UTCTime (YYMMDDHHMMSSZ);
V. Nombre del titular del certificado digital: identificar al titular del certificado digital con un
nombre distintivo (DN Distinguished Name) de tipo Name del estndar X.509, con los siguientes
atributos y valores:
ATRIBUTOS TIPO LONGITUD DESCRIPCIN
commonName (CN) UTF8String 64 Nombre del titular del certificado
digital
serialNumber (SN) PrintableString 64 CURP del titular del certificado digital
CountryName (C) PrintableString 2 Pas
X500uniqueIdentifier BIT STRING Opcional
(2.5.4.45) Registro Federal de Contribuyentes
del titular del certificado digital
EmailAddress (E) IA5String 128 Correo electrnico del titular del
certificado digital

VI. Clave pblica: contendr la clave pblica y el identificador de algoritmo (contenido en el campo
algoritmo de firma), deber tener un tamao mnimo de 2048 bits para certificados digitales
emitidos a particulares, y por lo menos de 4096 bits para certificados digitales de las AC, y
VII. Requisitos adicionales:
a) Versin: deber contener la Versin 3 del estndar X.509 y
b) Extensiones: contendr la siguiente informacin:
ATRIBUTOS TIPO DESCRIPCIN
authorityKeyIdentifier No crtica Permite identificar la clave pblica
correspondiente a la clave privada que la AC
utiliz para firmar el certificado digital.
Usar slo el campo KeyIdentifier, el cual debe
contener los 256 bits del SHA-2 del valor
subjectPublicKey del certificado digital de la AC.
subjectKeyIdentifier No crtica Asigna un identificador de la clave pblica del
titular del certificado digital.
Debe contener los 256 bits del SHA-2 del valor
subjectPublicKey.
keyUsage Crtica Usos del certificado digital
Bit AC Titular
DigitalSignature S S
nonrepudiation S S
keyEncipherment N N
dataEncipherment S S
keyAgreement S S
keyCertSign S N
ATRIBUTOS TIPO DESCRIPCIN
cRLSign S N
encipherOnly N N
decipherOnly N N
basicConstraints Crtica Identifica si el titular del certificado digital es una
AC.
extendedKeyUsage No crtica Indica uno o ms propsitos de uso.
cRLDistributionPoint No crtica Indica cmo puede ser obtenida la Lista de
Certificados Revocados.
authorityInfoAccess No crtica Indica cmo acceder a la informacin de la AC y
sus servicios, aqu debe indicarse como mnimo
la direccin electrnica de consulta de la AC.
certificatePolicies Crtica OID asignado por la Secretara, quien deber
llevar un registro de los mismos.

CUARTA.- Los requisitos para adquirir el carcter de AC sern:


1. Modelo Operacional de la AC;
1.1. El solicitante de acreditacin deber definir su Modelo Operacional de la AC conforme al
cual operar y prestar sus servicios al fungir como AC a efecto de lograr confiabilidad e
interoperabilidad, para lo cual desarrollar los apartados siguientes:
1.1.1. Cules son los servicios prestados;
1.1.2. Cmo se interrelacionan los diferentes servicios;
1.1.3. En qu lugares se operar;
1.1.4. Qu tipos de certificados se entregarn;
1.1.5. Cules son los certificados generados con diferentes niveles de seguridad;
1.1.6. Cules son las polticas y procedimientos de cada tipo de certificado, y
1.1.7. Cmo se protegern los activos.
1.2. El Modelo Operacional de la AC deber contener un resumen que incluya:
1.2.1. Contenido del documento, y
1.2.2. Relaciones comerciales con proveedores de insumos o servicios para sus
operaciones.
1.3. El Modelo Operacional de la AC deber comprender los siguientes aspectos:
1.3.1. Interfaces con las Autoridades Registradoras;
1.3.2. Implementacin de elementos de seguridad;
1.3.3. Procesos de administracin;
1.3.4. Sistema de directorios para los certificados;
1.3.5. Procesos de auditora y respaldo, y
1.3.6. Bases de Datos a utilizar.
1.4. El Modelo Operacional de la AC deber considerar la Poltica de Certificados, la Declaracin
de Prcticas de Certificacin, la Poltica de Seguridad de la Informacin y el Plan de
Seguridad de Sistemas por lo que se refiere a la generacin de claves.
1.5. El Modelo Operacional de la AC deber incluir los requerimientos de seguridad fsica del
personal, de las instalaciones y del mdulo criptogrfico.
2. Modelo Operacional de la Autoridad Registradora.
2.1 El solicitante de acreditacin deber definir su Modelo Operacional de Autoridad
Registradora conforme al cual operar y prestar sus servicios como autoridad registradora
a efecto de lograr confiabilidad e interoperabilidad, para lo cual desarrollar los apartados
siguientes:
2.1.1 Cules son los servicios de registro que se prestarn;
2.1.2 En qu lugares se ofrecern dichos servicios, y
2.1.3 Qu tipos de certificados generados por la AC se entregarn.
2.2 El solicitante de acreditacin deber ofrecer los mecanismos para que el propio usuario
genere en forma privada y segura sus Datos de Creacin de Firma Electrnica. Deber
indicar al usuario el grado de fiabilidad de los mecanismos y dispositivos utilizados.
2.3 El Modelo Operacional de la Autoridad Registradora deber comprender los siguientes
aspectos:
2.3.1 Interfaces con AC;
2.3.2 Implementacin de dispositivos de seguridad;
2.3.3 Procesos de administracin;
2.3.4 Procesos de auditora y respaldo;
2.3.5 Bases de Datos a utilizar;
2.3.6 Privacidad de datos, y
2.3.7 Descripcin de la seguridad fsica de las instalaciones.
2.4 El Modelo Operacional de la Autoridad Registradora deber establecer el mtodo para
proveer de una identificacin unvoca del usuario y el procedimiento de uso de los Datos de
Creacin de la Firma Electrnica Avanzada.
3. Plan de Administracin de Claves.
3.1 El solicitante de acreditacin deber definir su Plan de Administracin de Claves conforme al
cual generar, proteger y administrar sus claves criptogrficas, respecto de los apartados
siguientes:
3.1.1 Claves de la AC;
3.1.2 Almacenamiento, respaldo, recuperacin y uso de los Datos de Creacin de Firma
Electrnica de la AC del Prestador de Servicios de Certificacin;
3.1.3 Distribucin del certificado de la AC;
3.1.4 Administracin del ciclo de vida del hardware criptogrfico que utilice la AC, y
3.1.5 Dispositivos seguros para los usuarios.
3.2 Los procedimientos implantados de acuerdo al Plan de Administracin de Claves, debern
garantizar la seguridad de las claves en todo momento, aun en caso de cambios de
personal, componentes tecnolgicos, y dems que sealan las presentes Reglas Generales.
3.3 El Plan de Administracin de Claves deber establecer como requerimiento mnimo el
utilizar aquellas con longitud de 2048 bits para los usuarios y de 4096 bits para los
Prestadores de Servicios de Certificacin.
3.4 El solicitante de acreditacin, su autoridad certificadora y registradora, utilizarn dispositivos
seguros para almacenar sus Datos de Creacin de Firma Electrnica, compatibles como
mnimo con el estndar FIPS-140 nivel 3 en sus elementos de seguridad e implantacin de
los algoritmos, criptogrficos estndares, o el que le sustituya.
3.5 El Plan de Administracin de Claves tendr que ser compatible por lo menos con el estndar
ETSI TS 102 042 seccin 7.2 -Generacin de la clave de la AC, Almacenamiento, Respaldo
y Recuperacin de la clave de la AC, Distribucin de la clave pblica de la AC, uso de clave
de la AC, fin del ciclo de vida de la clave de la AC y Administracin del ciclo de vida del
Hardware criptogrfico-, o el que le sustituya.
Los anteriores requisitos debern continuar cumplindose una vez que los aspirantes de acreditacin
obtengan el carcter de AC.
QUINTA.- Las dependencias y entidades que requieran utilizar la Firma Electrnica Avanzada, primero
deben celebrar un convenio de colaboracin o coordinacin con la AC que provee el servicio de OCSP y
contar con los siguientes requerimientos tcnicos mnimos en sus sistemas informticos, as como en las
herramientas tecnolgicas o aplicaciones:
1. Contar con la Infraestructura de comunicacin necesaria (equipos de cmputo, conexin a internet).
2. Contar con aplicaciones que empleen el algoritmo de firmado SHA256 con RSA para certificados con
una longitud de 1024, 2048 bits o superior.
3. Contar con software capaz de validar los certificados mediante un servicio de consulta basado en el
protocolo de comunicacin OCSP que permita a los usuarios consultar el estado que guarda un
Certificado Digital.
4. Proporcionar a la AC la direccin IP y la URL desde la cual se realizarn las consultas al servicio
(considerando la IP del firewall).
5. Configurar sus servicios de comunicacin de acuerdo al estndar RFC 6960 X.509 Internet Public
Key Infrastructure Online Certificate Status Protocol OCSP.
El procedimiento que deben cumplir las dependencias y entidades, para estar en condiciones de utilizar el
protocolo de comunicacin OCSP es el siguiente:
1. Verificar que el certificado digital presentado tenga una vigencia vlida.
2. Enviar un mensaje para conocer el estado que guarda el certificado digital y suspende la aceptacin
del certificado digital hasta que la respuesta sea recibida de parte de la AC.
3. Obtener el mensaje de respuesta que enva el servicio de OCSP.
4. Contar con la capacidad de interpretar las respuestas firmadas de las consultas al servicio OCSP
utilizando el certificado de la AC para aceptar y en su caso rechazar la solicitud si el certificado ha
sido revocado y por lo tanto no es vlido a pesar de su vigencia.
SEXTA.- La conservacin de los mensajes de datos y de los documentos electrnicos con firma
electrnica avanzada se regir por la naturaleza de la documentacin de acuerdo con las disposiciones
legales aplicables y se deber asegurar que se ha mantenido ntegra e inalterada a partir del momento en que
se gener por primera vez en su forma definitiva y sea accesible para su ulterior consulta; para tales efectos
deber observarse lo establecido en la norma oficial mexicana que para tales efectos emita la SE.
SPTIMA.- Los solicitantes de acreditacin y las AC deben cumplir con la matriz de control descrita en el
Anexo 4 Matriz de control de seguridad para autoridades certificadoras a fin de evitar la falsificacin,
alteracin o uso indebido de los certificados digitales.
Asimismo, deben cumplir con generar las polticas definidas en el modelo operacional de la AC con base
en la especificacin del RFC 3647.
OCTAVA.- Los requisitos para obtener el carcter de AC, establecidos en las presentes disposiciones, los
deber cumplir directamente el solicitante de acreditacin, y en su caso, la AC cuando obtenga tal carcter,
por lo que dichas obligaciones no podrn ser cedidas, subrogadas o transferidas en favor de terceros.
Asimismo, los derechos adquiridos, una vez que se obtenga el carcter de AC, no podrn ser transferidos
en favor de cualquier otra persona.
Las AC estarn sujetas a las visitas de verificacin por parte de la Secretara con el apoyo de la SE y/o del
SAT, que sean necesarias para asegurar el cumplimiento de las obligaciones establecidas en la Ley, en el
Reglamento y en las dems disposiciones aplicables. La realizacin de dichas visitas se ajustarn a lo
previsto en el captulo Dcimo primero del Ttulo Tercero de la Ley Federal de Procedimiento Administrativo.
Finalmente, la AC que obtenga tal carcter, deber cumplir todas las disposiciones aplicables para las
dependencias y entidades de la Administracin Pblica Federal en materia de tecnologas de la informacin y
comunicaciones, seguridad de la informacin y proteccin de datos personales, que se encuentren vigentes.
NOVENA.- Las AC que hayan sido suspendidas o revocadas de tal carcter en trminos del artculo 26 de
la Ley de Firma Electrnica Avanzada y 21 de su Reglamento, debern transferir los certificados digitales,
registros y archivos generados a la AC que determine la Secretara, los cuales sern administrados conforme
a las disposiciones jurdicas aplicables.
La AC que reciba los certificados digitales debe tener un mtodo que permita verificar en lnea el estatus
de los mismos.
DCIMA.- Para llevar a cabo el registro de datos y verificacin de elementos de identificacin, as como la
emisin, renovacin y revocacin de certificados digitales, las AC debern observar los procedimientos
definidos en los anexos 1, 2 y 3 de las presentes Disposiciones Generales.
El procedimiento para la emisin de certificados digitales se formular, tomando en cuenta los estndares
internacionales que a continuacin se indican:
a. RFC 5958 PKCS#8: Private-Key Information Syntax Standard, para la creacin de la clave privada;
b. RFC 2986 PKCS #10: Certification Request Syntax Specification Version 1.7, para la generacin del
archivo de requerimiento del certificado digital, y
c. RFC 5652 Cryptographic Message Syntax (CMS), para la descripcin del formato del mensaje de
datos del certificado digital.
Asimismo, el procedimiento a seguirse para llevar a cabo la captura de biomtricos deber realizarse
conforme al Anexo 1 de las presentes Disposiciones Generales.
DCIMA PRIMERA.- Las AC proporcionarn el servicio de consulta sobre el estado de validez de los
certificados digitales expedidos por las mismas, el cual deber:
I. Cumplir con lo sealado en el RFC 6960 X.509 Internet Public Key Infrastructure Online Certificate
Status ProtocolOCSP";
II. Utilizar mensajes codificados que debern ser transmitidos sobre el protocolo HTTP o HTTPS;
III. Firmar la respuesta a la solicitud utilizando el certificado digital de la AC o bien, con otro certificado
digital generado especialmente por la AC para la prestacin de ese servicio;
IV. Mantener operando el servicio con una disponibilidad del 99.95%, y
V. Contar con una direccin electrnica para llevar a cabo la consulta correspondiente, a travs del
protocolo OCSP.
DCIMA SEGUNDA.- Las AC llevarn un registro de los certificados digitales que emitan, identificando
aqullos que hayan sido revocados, los cuales se integrarn en una Lista de Certificados Revocados, misma
que elaborarn al menos cada 24 horas y que deber cumplir con lo siguiente:
I. Ser compatible con la ltima versin del estndar ISO/IEC 9594-8:2014 The Directory: Public-key
and attribute certificate frameworks o RFC 5280 X.509 Public Key Infrastructure Certificate and
Certificate Revocation List (CRL) Profile;
II. Contener fecha y hora de su emisin, y
III. Ser firmada por la AC que la emita.
DCIMA TERCERA.- En caso de contingencia o no disponibilidad del servicio de consulta sobre el estado
de validez de los certificados digitales a travs del protocolo OCSP, las dependencias y entidades, podrn
hacer uso de la ltima Lista de Certificados Revocados que las AC tengan disponible para su consulta en su
pgina Web, siempre y cuando dicha Lista de Certificados Revocados refleje el estado de validez de los
certificados digitales hasta 24 horas antes del caso de contingencia o no disponibilidad del servicio.
DCIMA CUARTA.- Las dependencias y entidades verificarn, previamente a la firma de los mensajes de
datos o documentos electrnicos, el estado de validez y vigencia del certificado digital que se utilizar en el
acto de que se trate.
La verificacin de validez se realizar mediante consulta que formulen a la AC que expidi el certificado
digital correspondiente, a travs del servicio de OCSP de acuerdo a las caractersticas definidas por la AC.
DCIMA QUINTA.- La interpretacin para efectos administrativos de las Disposiciones Generales
contenidas en el presente Acuerdo, as como la resolucin de los casos no previstos en las mismas,
corresponder a la Secretara a travs de la Unidad de Gobierno Digital.
DISPOSICIONES TRANSITORIAS
Primera.- Las presentes Disposiciones entrarn en vigor el da siguiente al de su publicacin en el Diario
Oficial de la Federacin.
Segunda.- A fin de garantizar la interoperabilidad del firmado de los certificados con una longitud de 1024
bits se debe mantener el algoritmo de firmado SHA 1 hasta el trmino de vigencia del certificado.
Tercera.- Las dependencias y entidades realizarn, de acuerdo con los plazos previstos en sus
respectivos programas de instrumentacin para el uso de la firma electrnica avanzada, los ajustes que
procedan a sus sistemas informticos, a efecto de que los mismos cumplan con lo establecido en la
disposicin tercera fraccin III.
Ciudad de Mxico, a 18 de octubre de 2016.- El Secretario de Economa, Ildefonso Guajardo Villarreal.-
Rbrica.- En suplencia por ausencia del Secretario de la Funcin Pblica con fundamento en lo dispuesto por
los artculos 7 fraccin XII y 86 del Reglamento Interior de la Secretara de la Funcin Pblica, el
Subsecretario de Responsabilidades Administrativas y Contrataciones Pblicas de la Secretara de la Funcin
Pblica, Javier Vargas Zempoaltecatl.- Rbrica.- El Jefe del Servicio de Administracin Tributaria, Osvaldo
Antonio Santn Quiroz.- Rbrica.

Objetivo
Dotar a las AC de polticas y procedimientos a travs de los cuales ejerzan sus facultades, as como
promover la estandarizacin de su operacin a nivel nacional, con la finalidad de brindar un servicio eficaz,
eficiente y de calidad.
Alcance
El presente procedimiento es de aplicacin para el personal encargado de la emisin de los certificados
(en lo sucesivo Agentes Certificadores) de las Autoridades Certificadoras (AC).
Polticas de Operacin
Primera.- La AC debe tener disponible en su portal de Internet una seccin particular para Firma
Electrnica Avanzada que al menos contenga la siguiente informacin:
a. Requisitos para solicitar la generacin de la Firma Electrnica Avanzada, en trminos del artculo 18
de la Ley de Firma Electrnica Avanzada.
b. Direccin de las oficinas a las que debe acudir el solicitante.
c. Horarios de atencin.
d. Canales de comunicacin para la atencin de los solicitantes.
e. Esquema de atencin a Quejas, Sugerencias y Reconocimientos.
Segunda.- La AC debe garantizar que el personal (Agente Certificador) cuenta con la capacitacin
correspondiente para llevar a cabo las actividades para la emisin de certificados, adems de contar con los
elementos de confiabilidad correspondientes.
Tercera.- La AC debe llevar a cabo evaluaciones de conocimiento y confiabilidad a los Agentes
Certificadores en un periodo no mayor a 13 meses para garantizar el cumplimiento de la poltica previa.
Cuarta.- La AC debe garantizar que el personal que se separa del cargo de las actividades de certificacin
deje de tener acceso a los sistemas involucrados.
Quinta.- El personal relacionado con el proceso de emisin de certificados debe estar plenamente
identificado a travs de un gafete, en el que sea visible el nombre del personal, que debe portar durante el
proceso de atencin.
Sexta.- La AC debe contar con espacios destinados para la instalacin y operacin del Servicio de
Acreditacin de Identidad y Enrolamiento vigente, con la correspondiente sealizacin.
Sptima.- La AC debe garantizar que terceros y personal ajeno al proceso de emisin de certificados de
Firma Electrnica Avanzada no tenga acceso a los sistemas relacionados con dichos procesos.
Octava.- Para efectos del presente procedimiento se entiende por acreditacin de identidad: Al acto de
comparecencia del ciudadano solicitante del certificado de Firma Electrnica Avanzada ante la AC y exhibir la
documentacin sealada en la seccin de Firma Electrnica Avanzada de la pgina de Internet de la AC, la
cual el Agente Certificador cotejar y validar contra los sistemas Institucionales, para proceder a canalizarlos
a la Estacin de Enrolamiento para el Servicio de Acreditacin de Identidad y Enrolamiento.
Novena.- El Agente Certificador tendr la obligacin de verificar que el solicitante cuente con el archivo de
requerimiento *.req y el formato de solicitud de firma electrnica avanzada.
En el supuesto de que el solicitante no cuente con los mismos, se le deber apoyar para llenar la solicitud
y realizar la generacin del archivo de requerimiento *.req, al momento en que acuda a realizar el trmite.
Nota: Para efectos del llenado del formato de solicitud de firma electrnica avanzada, el solicitante que
opte por llenarlo a mano, podr utilizar tinta negra o azul, utilizando nicamente tinta azul al firmar el citado
formato por ambos lados, en caso que el solicitante no cuente con pluma de tinta azul, la AC deber
proporcionrsela.
Dcima.- Los datos y elementos de identificacin obtenidos en el trmite de Firma Electrnica Avanzada
formarn parte del sistema de Registro Nacional de Poblacin (RENAPO).
El Agente Certificador deber recabar los datos y elementos de identificacin de conformidad con el
Acuerdo por el cual se dan a conocer el Procedimiento Tcnico de Captura de Informacin y el Procedimiento
Tcnico de Intercambio de Informacin, as como sus respectivos anexos, publicado en el Diario Oficial de la
Federacin, por la Secretara de Gobernacin.
Dichos datos y elementos de identificacin sern dados a conocer por la Secretara, la SE y el SAT en sus
portales de internet.
La acreditacin de la identidad y la certificacin documental del trmite de generacin del certificado de
Firma Electrnica Avanzada del solicitante es responsabilidad del Agente Certificador, y debe estar completa
antes de que se canalice al solicitante a la estacin de enrolamiento para la toma de biomtricos, la
digitalizacin de la documentacin probatoria y la emisin del certificado de Firma Electrnica Avanzada.
Dcima primera.- La AC debe designar un responsable del proceso de emisin de certificados de Firma
Electrnica Avanzada, quin ser el encargado de supervisar la adecuada captura de los datos y elementos
de identificacin del solicitante y de garantizar que no exista inconsistencias o duplicidades de los datos y
elementos de identificacin.
Dcima segunda.- Cuando el Agente Certificador detecte inconsistencias o duplicidades en los datos y
elementos de identificacin, se deber rechazar el trmite e informar al solicitante que acuda ante la autoridad
correspondiente, para corregir la inconsistencia o duplicidad.
Dcima tercera.- La AC podr emitir certificados de Firma Electrnica Avanzada para los solicitantes que
se encuentren bajo ciertos supuestos especiales, siempre y cuando acrediten tal caracterstica, de
conformidad con las disposiciones jurdicas aplicables. De manera enunciativa mas no limitativa se mencionan
los certificados para los menores de edad que presten exclusivamente un servicio personal subordinado, los
menores de edad emancipados y los contribuyentes con incapacidad legal declarada judicialmente.
Dcima cuarta.- La AC debe llevar a cabo la toma de biomtricos, registro y validacin de los mismos
conforme al Procedimiento Tcnico de Captura de Informacin y el Procedimiento Tcnico de Intercambio de
Informacin, as como sus respectivos anexos publicados en el Diario Oficial de la Federacin, disponibles en
el portal de Internet de RENAPO.
Dcima quinta.- La AC debe emitir los certificados de Firma Electrnica Avanzada de acuerdo al estndar
que establecen las Disposiciones Generales.
Dcima sexta.- La AC debe enviar a la Autoridad Registradora los certificados de Firma Electrnica
Avanzada generados a fin de que se validen y se registren dentro de la infraestructura correspondiente para
su validacin.
Dcima sptima.- La AC debe resguardar de forma digital toda la documentacin comprobatoria que
acredita la identidad del solicitante en su carcter de persona fsica, as como el documento mediante el cual
el solicitante confirma la recepcin o entrega de la Firma Electrnica Avanzada de forma segura y secreta.
Dcima octava.- La AC debe contar con un expediente electrnico por cada solicitante, asimismo debe
mantener una bitcora electrnica de los registros o movimientos que se efectan en el da por cada Agente
Certificador y mantenerlos bajo resguardo.
Dcima novena.- La AC deber hacer del conocimiento del solicitante los siguientes trminos y
condiciones, los cuales deben estar impresos en el formato de solicitud, mismos que deben ser firmados de
forma autgrafa por el solicitante:
Trminos:
El suscrito, cuyos datos generales aparecen al anverso de la solicitud de Certificado Digital de
Firma Electrnica Avanzada, y a quien en lo sucesivo se le denominar como El Solicitante para
todos los efectos legales que deriven del presente documento a que haya lugar, manifiesta ante
<poner aqu el nombre de la AC>, a quien en lo sucesivo se le denominar como La Autoridad
Certificadora (AC), que es su libre voluntad contar con un Certificado Digital de Firma Electrnica
Avanzada en el que conste la clave pblica que se encuentra asociada a la clave privada y frase de
seguridad que manifiesta haber generado previamente y en absoluto secreto, sin que persona alguna
lo haya asistido durante dicho proceso.
Asimismo manifiesta su conformidad en que La AC utilice el procedimiento de certificacin de
identidad que establece el Procedimiento Tcnico de Captura de Informacin, publicado en el Diario
Oficial de la Federacin.
La AC manifiesta que los datos personales recabados de El Solicitante durante su
comparecencia sern protegidos, incorporados y tratados en el sistema <poner aqu el nombre del
sistema de enrolamiento>, con fundamento en <poner aqu fundamento legal vigente>, y cuya
finalidad es garantizar el vnculo que existe entre un Certificado Digital de Firma Electrnica
Avanzada y su titular, el cual fue registrado en el Listado de Sistemas de Datos Personales ante el
Instituto Nacional de Transparencia, Acceso a la Informacin y Proteccin de Datos Personales
ifai.org.mx, y sern transmitidos al Registro Nacional de Poblacin, para la conformacin del
Sistema Integral del Registro Nacional de Poblacin.
La Unidad Administrativa responsable de este sistema es <poner nombre aqu>. El Solicitante
podr ejercer los derechos de acceso y correccin de datos a travs de <poner aqu el mecanismo o
ubicacin del inmueble en donde se pueden ejercer estos derechos>. Lo anterior se informa en
cumplimiento del DECIMOSPTIMO de los Lineamientos de Proteccin de Datos Personales,
publicados en el Diario Oficial de la Federacin el 30 de septiembre de 2005.
El Solicitante reconoce que para la emisin del referido Certificado Digital de Firma Electrnica
Avanzada, La AC revis la documentacin que se indica en el anverso de este documento, con la
cual El Solicitante se identific, constatando a simple vista que los documentos corresponden a los
rasgos fisonmicos y caligrficos de El Solicitante, por lo que este ltimo asume la responsabilidad
exclusiva respecto de la autenticidad de los datos y documentacin por l proporcionada a La AC.
De la misma forma El Solicitante asume la responsabilidad exclusiva del debido uso del Certificado
Digital de Firma Electrnica Avanzada.
El Solicitante en este acto acepta el Certificado Digital mencionado, sirviendo este documento
como el acuse de recibo.
Adicionalmente, El Solicitante acepta que el uso de la clave privada y frase de seguridad con base
en las cuales dicho certificado fue elaborado, quedarn bajo su estricta y absoluta responsabilidad, la
cual incluye en forma enunciativa, los daos y perjuicios, incluso aqullos de carcter financiero, que
pudieran causarse por su uso indebido, no pudiendo alegar que tal uso se realiz por persona no
autorizada.
El Solicitante conoce y acepta que la clave pblica proporcionada por l y contenida en el
Certificado Digital de Firma Electrnica Avanzada, as como en cualquier otro certificado digital que
con posterioridad se obtenga, ser de carcter pblico y podr ser consultada libremente por
cualquier interesado a travs de los medios y formas que disponga La AC.
Por lo anterior, El Solicitante se obliga a mantener absoluta confidencialidad respecto de las
aludidas clave privada y frase de seguridad, as como a realizar los trmites necesarios para la
revocacin de dicho certificado ante La AC, mediante los mecanismos y procedimientos que el
mismo establezca, en el evento de que por cualquier causa dicha informacin sea divulgada o se
realice cualquier supuesto por el que El Solicitante deba solicitar su cancelacin en los trminos de
las disposiciones jurdicas aplicables.
Por otra parte El Solicitante manifiesta conocer el contenido y alcance de las disposiciones
jurdicas relativas a la celebracin de actos jurdicos mediante el uso de medios electrnicos,
digitales o de cualquier otra tecnologa, por lo que asume plena responsabilidad respecto de la
informacin y contenido de todo documento electrnico o digital elaborado y enviado en el que se
haga uso de la citada clave privada, toda vez que por ese solo hecho se considerar que el
documento electrnico o digital le es atribuible.
El Solicitante reconoce y acepta que La AC nicamente es responsable de los errores que, en su
caso, llegaren a cometer bajo su responsabilidad en el proceso de generacin, registro, entrega y
revocacin del Certificado Digital, segn corresponda, as como que no ser responsable por los
daos y perjuicios que se pudieran causar a El Solicitante o a terceros, cuando por caso fortuito o
fuerza mayor no puedan realizarse registros, verificaciones, revocaciones o tramitar documentos
electrnicos cifrados con las claves pblicas y privadas relacionadas con dicho certificado. Para
efectos de lo anterior por caso fortuito o fuerza mayor se entender todo acontecimiento o
circunstancia inevitable, ms all del control razonable de La AC, que le impida el cumplimiento de
sus funciones con el carcter que le corresponde.
El Solicitante reconoce a travs de su firma autgrafa asentada en el espacio designado para ello
en el anverso y reverso de este formato, al presente como prueba fehaciente de la aceptacin de
todo lo especificado en el mismo.
Condiciones:
El Certificado Digital que se genere derivado de la realizacin de este trmite, estar disponible en
<poner aqu direccin electrnica>; para que El Solicitante realice la descarga del mismo.
La Firma Electrnica Avanzada asignada es personal e intransferible y el uso de la misma es
responsabilidad de El Solicitante.
La Firma Electrnica Avanzada tendr los mismos alcances y efectos que la firma autgrafa.
Con esta firma podr hacer uso de servicios y trmites electrnicos disponibles en los cuales se
reconozca el Certificado Digital de Firma Electrnica Avanzada.
El Solicitante ser responsable de las obligaciones derivadas del uso de su firma.
El Solicitante acepta que deber notificar oportunamente a La AC, la invalidacin, prdida o
cualquier otra situacin que pudiera implicar la reproduccin o uso indebido de su clave privada.
El Solicitante acepta las condiciones de operacin y lmites de responsabilidad de <poner aqu el
nombre de la AC> en su calidad de La AC que se encuentran disponibles en la direccin electrnica
<poner aqu la direccin electrnica> para su consulta.
Actividades del procedimiento y su detalle
DETALLE DE LA Generacin de la llave privada [*.key] y archivo de requerimiento [*.req] para la Firma
ACTIVIDAD Electrnica Avanzada

Puesto / Rol Tarea Descripcin de la tarea Documentos


Responsable involucrados

Usuario 1. Accede a la pgina de la AC en Internet en la


seccin de Firma Electrnica Avanzada y
procede a bajar la aplicacin para generar el
requerimiento [*.req] y la llave privada [*.key]
en su equipo de cmputo.
2. Instala en su PC la aplicacin que genera el
*.req y *.key.
Puesto / Rol Tarea Descripcin de la tarea Documentos
Responsable involucrados
3. Ejecuta la aplicacin de generacin de
archivos antes mencionados, y llena los datos
requeridos, conforme es instruido en el
aplicativo.
4. Respalda en una unidad de memoria extrable
USB o disco compacto [CD] el archivo *.req y
lo integra a la documentacin que presentar
en la AC.
5. Acude a la AC presentando los documentos
requeridos al Agente Certificador para realizar
el trmite de emisin de Certificado Digital de
Firma Electrnica Avanzada.
Requisitos
Identificacin oficial.
Acta de nacimiento.
Solicitud de Certificado de Firma
Electrnica Avanzada, firmada de forma
autgrafa.
Archivo de requerimiento [USB o CD].
Agente Certificador 6. Verifica que la documentacin presentada est
completa y determina.
S est la documentacin completa
Contina en la DT 8.
No est la documentacin completa
Contina en la DT 7.
7. Informa al Usuario de los faltantes. Devuelve
documentacin indicando que deber hacer
una nueva cita y traer los documentos que
falten.
Concluye procedimiento
8. Procede a validar la informacin de la
documentacin presentada que acredita la
identidad del solicitante.
Si la informacin es consistente contina en la
DT10.
En caso de identificar inconsistencias,
continua en la DT9.

9. Informa al solicitante que no es posible llevar a


cabo el trmite, por lo que ser necesario que
corrija las inconsistencias reportadas.
Concluye el procedimiento.

10. Digitaliza la documentacin con la que


acredita la identidad del solicitante y la integra
en un expediente electrnico.
11. Canaliza al rea de toma de biomtricos.
12. Realiza la toma de biomtricos, los valida y en
su caso los registra conforme al Procedimiento
Tcnico de Captura de Informacin y el
Procedimiento Tcnico de Intercambio de
Informacin.
13. Registra los biomtricos en el sistema y se
procede a generar el Certificado Digital de
Firma Electrnica Avanzada.
14. Se solicita al usuario registrar en el sistema su
clave privada a fin de generar el Certificado
Digital de Firma Electrnica Avanzada y el
archivo llave.

15. Se emite el Comprobante de Inscripcin para


la Firma Electrnica Avanzada para que lo
firme de forma autgrafa el solicitante.

Usuario 16. Recibe y procede a firmar de recibido en los


dos tantos del Comprobante de Inscripcin
para la Firma Electrnica Avanzada y
devuelve.

Agente Certificador 17. La AC recibe y acusa de recibo con sello en


los dos tantos del formato de Solicitud de
Certificado de Firma Electrnica Avanzada. La
AC entrega un tanto de este al Usuario junto
con un tanto del Comprobante de Inscripcin
para la Firma Electrnica Avanzada, los
originales de su documentacin y el dispositivo
externo con su archivo *.cer.

18. Anexa la documentacin al o expediente del


Usuario la nueva documentacin recibida.
Fin del Procedimiento

FORMATOS E INSTRUCTIVOS DE LLENADO


Comprobante de inscripcin para la Firma Electrnica Avanzada
Objetivo

Dotar a las Autoridades Certificadoras (AC) de polticas y procedimientos a travs de los cuales ejerzan
sus facultades, as como promover la estandarizacin de su operacin a nivel nacional, con la finalidad de
brindar un servicio eficaz, eficiente y de calidad.

Alcance
El presente procedimiento es de aplicacin para los Agentes Certificadores de las AC.

Polticas de Operacin

Primera.- La revocacin de los Certificados Digitales de Firma Electrnica Avanzada se podr realizar en
la oficina de la AC.

Segunda.- El Agente Certificador deber acreditar la identidad del solicitante, a travs de la validacin de
las huellas dactilares.

Se deber corroborar con el solicitante o representante legal, segn sea el caso los datos de: RFC, CURP
y nombre.

Tercera.- El Agente Certificador tendr la responsabilidad de integrar al expediente electrnico


correspondiente para la generacin de la Firma Electrnica Avanzada, la documentacin que respalda el
trmite de revocacin.

Cuarta.- Para efectos de lo dispuesto en el artculo 19 de la Ley de Firma Electrnica Avanzada, los
motivos para la revocacin de certificados digitales sern:

1. Extravo de la llave privada u olvido de la contrasea de acceso a la llave privada.

2. Cambio de nombre.

3. Cambio de Clave nica de Registro de Poblacin.

4. Cambio de clave de Registro Federal de Contribuyentes.

5. Por suposicin que su contrasea y/o llaves privadas fueron comprometidas.

6. Por haberse modificado la situacin jurdica del solicitante

Quinta.- El Agente Certificador deber requerir el escrito libre de solicitud de revocacin, mismo que
especificar la causa por la cual se solicita la revocacin del Certificado Digital. El Agente Certificador
proceder conforme a lo siguiente:

1. Se cotejar la siguiente documentacin:

a. Original o copia certificada de la identificacin oficial del solicitante.

Sexta.- El Agente Certificador orientar al solicitante para que revoque su certificado utilizando el portal de
Internet de la AC.
Actividades del procedimiento y su detalle
DETALLE DE LA Revocacin de Certificados Digitales de Firma Electrnica
ACTIVIDAD Avanzada

Puesto / Rol Tarea Descripcin de la tarea Documentos

Responsable involucrados
Puesto / Rol Tarea Descripcin de la tarea Documentos

Responsable involucrados

Usuario 1. Acude a la oficina de la AC a presentar escrito Escrito libre

de solicitud de revocacin de certificados.

Agente Certificador 2. Verifica que se presente la siguiente Escrito libre

documentacin:
Identificacin oficial del

Escrito libre con la solicitud de solicitante

revocacin.

Original o copia certificada de la

identificacin oficial del solicitante.

Agente Certificador 3. Acredita la identidad del solicitante a

travs de la validacin de las huellas

dactilares.

4. Accede al sistema de revocacin provisto por

la AC, captura nmero de serie del certificado

a revocar y RFC y procede a revocar.

5. Imprime comprobante y entrega al Solicitante Comprobante de

los dos tantos y solicita firme acuse de recibo. revocacin de certificado

Usuario 6. Recibe, firma acuse de recibo y devuelve. Comprobante de

revocacin de certificado

Agente Certificador 7. Entrega al solicitante copia del escrito libre, el Escrito libre

comprobante de revocacin de certificado


Identificacin oficial
junto con el original de la identificacin oficial.
Comprobante de

revocacin de certificado

8. Digitaliza la informacin correspondiente a la

revocacin y la integra al expediente

electrnico del solicitante.

9. Integra al original del escrito libre el

comprobante de revocacin e integra al

expediente fsico.

Fin del Procedimiento

FORMATOS E INSTRUCTIVOS DE LLENADO


ESCRITO LIBRE

UBICACIN (CIUDAD) a ___ de ________ AO.

AUTORIDAD CERTIFICADORA XXXXX

ASUNTO: Revocacin del Certificado Digital

de Firma Electrnica Avanzada

Quien suscribe C.____________________________________________________________ con clave de


R.F.C ____________________________, y domicilio fiscal ubicado en:
_____________________________________________________________________________________
___________________________________________________________________________y correo
electrnico: _______________________________________________________________

Por medio del presente y en apego al xxxxxxxxxxxxxxx solicito a esta autoridad realice la revocacin del
Certificado Digital de Firma Electrnica Avanzada con nmero de serie
00001000000___________________________ por motivo de
_______________________________________________.

Sin ms por el momento y agradeciendo su atencin,

ATENTAMENTE

_______________________________________

_______________________________________

C.

NOMBRE DEL SOLICITANTE

Objetivo
Dotar a las AC de polticas y procedimientos a travs de los cuales ejerzan sus facultades, as como
promover la estandarizacin de su operacin a nivel nacional, con la finalidad de brindar un servicio eficaz,
eficiente y de calidad.
Alcance
El presente procedimiento es de aplicacin para los Agentes Certificadores de las Autoridades
Certificadoras (AC).
Polticas de operacin.
Primera.- La renovacin de los certificados digitales se podr realizar en la oficina de la AC.
Segunda.- El Agente Certificador deber acreditar la identidad del solicitante, a travs de la validacin de
las huellas dactilares.
Se deber corroborar con el solicitante, segn sea el caso los datos de: RFC, CURP y, nombre.
Tercera.- El Agente Certificador tendr la responsabilidad de integrar al expediente electrnico
correspondiente para la generacin de la Firma Electrnica Avanzada, la documentacin que respalda el
trmite de renovacin.

Cuarta.- Los motivos para la renovacin de certificados digitales sern:

1. Cuando el certificado de Firma Electrnica Avanzada no est vigente.

2. Cuando la fecha de vencimiento del certificado esta prxima.

Quinta.- El Agente Certificador genera la solicitud de renovacin.

Sexta.- El Agente Certificador orientar al solicitante para que renueve su certificado utilizando el portal de
Internet de la AC.
Actividades del procedimiento y su detalle

DETALLE DE LA Renovacin de Certificados Digitales de Firma electrnica Avanzada va AC


ACTIVIDAD

Puesto / Rol Documentos


Tarea Descripcin de la tarea
Responsable involucrados

Usuario

1. Acude a la AC presentando los documentos Identificacin oficial


requeridos para realizar el trmite de
Archivo *.req
renovacin del Certificado Digital de Firma
Electrnica Avanzada.

Requisitos de renovacin:

Original o copia certificada de la


identificacin oficial del solicitante.

Archivo de requerimiento (dispositivo o


mecanismo de almacenamiento).

Correo electrnico.

Agente Certificador

2. Verifica que la documentacin est correcta.

3. Corrobora con el solicitante los datos de: RFC,


CURP, nombre y domicilio desplegados en
pantalla, tambin verifica que el apartado
<Biomtricos> seale la opcin <S>.

4. Acredita la identidad del solicitante, a travs


de la validacin de las huellas dactilares.

5. Genera e imprime en dos tantos la solicitud Solicitud de renovacin


de renovacin y recaba firma del solicitante.

6. Genera y almacena el Certificado Digital de


Firma Electrnica Avanzada en el dispositivo o
mecanismo de almacenamiento.

7. Imprime en dos tantos el Comprobante de Comprobante de


Inscripcin para la Firma Electrnica Avanzada Inscripcin para la Firma
y recaba firma del solicitante. Extrae Electrnica Avanzada
dispositivo o mecanismo de almacenamiento.

Usuario 8. Recibe y firma de recibido en los dos tantos de Comprobante de


la Solicitud de renovacin y del Inscripcin para la Firma
Comprobante de Inscripcin para la Firma Electrnica Avanzada
Electrnica Avanzada y devuelve.

Agente Certificador 9. Recibe y acusa de recibo con sello de la AC Comprobante de


en los dos tantos del formato de Solicitud de Inscripcin
renovacin, entrega un tanto de ste al
solicitante junto con un tanto del Comprobante
de Inscripcin para la Firma Electrnica
Avanzada y los originales de su
documentacin y su dispositivo o mecanismo
de almacenamiento con su Certificado Digital
de Firma Electrnica Avanzada.

10. Anexa la documentacin digitalizada al


expediente electrnico e integra lo
correspondiente al expediente fsico del
solicitante la nueva documentacin recibida.

Fin del Procedimiento

FORMATOS E INSTRUCTIVOS DE LLENADO


Comprobante de inscripcin para la Firma Electrnica Avanzada
Matriz de Controles para la Revisin de Seguridad para AC

Nota: La presente matriz estar vigente a partir de XXXXXX

Periodicidad /
rea de Sub-rea de ID
Control Interpretacin del Control Parmetro Entrega esperada
Control Control Control
Requerido

rea de control: Postura de la Autoridad Certificadora sobre la Seguridad de la Informacin

Entendimiento del 1 Contexto del negocio Parmetros internos y Al inicio de solicitud. Documento con la
negocio en donde ste externos del ambiente AC, descripcin del contexto
pretende alcanzar sus establecer el alcance y de negocio.
criterios de riesgos.

Se espera un documento
donde se identifique el
objetivos. contexto donde la AC se va
a desenvolver, los factores
que pueden afectar, los
riesgos, factores de cambio.

Requerimientos de negocio
de los distintos participantes
involucrados en el proceso
de prestacin de servicios.
Requerimientos de
Ej. Gobierno, INAI
negocio de los Documento y mapa de
2 Solicitante, Negocio. Al inicio de solicitud.
distintos participantes requerimientos.
Se espera un documento en
(internos y externos)
donde se especifique qu
requerimientos existen para
que el negocio pueda
operar.

1. Proceso documentado del


negocio.

2. Alcance detallado del


proceso.

3. Objetivos, indicadores
claves de cumplimiento y
* Documento con el
mtricas.
proceso de negocio.
4. Entradas y salidas del
* Documento con
proceso. (Diagrama)
objetivos, indicadores
5. Roles, responsabilidades Al inicio de solicitud,
claves de cumplimiento y
y competencias del personal posteriormente
mtricas.
que interviene en el proceso. actualizaciones cada
Definir alcance de los * Documento con
6. Recursos que intervienen que existan cambios
3 objetivos y procesos Entradas y salidas del
en la ejecucin del proceso. en los procesos.
de negocio. proceso.
(organigrama) Deben cumplir con
* Estndares, normas o
7. Tareas que se ejecutan en COBIT, TOGAF o
buenas prcticas a las
el proceso. equivalente.
que est alineado el
8. Indicadores y mtricas
proceso.
que demuestren que el
* Monitoreo y evaluacin
proceso se realiza de forma
del proceso.
eficiente.

9. Estndares, normas o
buenas prcticas a las que
est alineado el proceso.

10. Monitoreo y evaluacin


del proceso.

Liderazgo de la Alta 4 Liderazgo y 1. Se deben tener objetivos Al inicio de solicitud, * Documento con la
Direccin compromiso y una poltica de seguridad posteriormente incorporacin de la
de la informacin de alto actualizaciones cada estrategia de seguridad
nivel compatible con la que existan cambios en la del negocio.
estrategia de negocio en las directivas y * Documento con los
corporativa dentro del polticas de recursos asignados.
alcance de los servicios del seguridad.
* Documento con el
negocio. Deben cumplir con programa de seguridad
2. Asegurar que los ISO27000, Risk IT o de la informacin.
requerimientos de la equivalente.
* Documento de reporte
seguridad de la informacin
de asignacin y
estn integrados a los
supervisin de avance
procesos organizacionales
del programa de
relacionados con los
seguridad de la
servicios del negocio.
informacin.
3. Asegurar que se
proporcionen los recursos
requeridos para mantener la
seguridad de la informacin
del negocio.
4. Comunicar en forma
efectiva la importancia de
mantener los niveles
adecuados de seguridad de
informacin y se conforme
con todo lo solicitado por la
Secretara, con el apoyo
tcnico de la Secretara de
Economa y el Servicio de
Administracin Tributaria, en
este rubro.
5. Asegurar que los
requerimientos de seguridad
de la informacin alcancen
sus objetivos.
6. Dirigir y liderar los roles
gerenciales para contribuir a
la efectividad en el
cumplimiento de los
requerimientos de seguridad
y la mejora continua de su
gestin.

Al inicio de solicitud,
La AC debe contar con un posteriormente
Debe de implementar un
documento de Poltica de actualizaciones cada
Sistema de Gestin de
Seguridad de la Informacin que existan cambios
Seguridad de la
Poltica de seguridad autorizado, en las directivas y
5 Informacin (SGSI),
de la informacin el cual debe estar publicado polticas de
protocolizado de
y disponible para el personal seguridad.
conformidad a ISO27000
interno y terceros que Deben cumplir con por lo menos.
colaboren con la AC. ISO27000, Risk IT o
equivalente.

1. Poltica de seguridad de la
informacin. - Contiene los
lineamientos generales de
Polticas alineadas a
las polticas de informacin.
mejores prcticas. La
2. Poltica de la organizacin Al inicio de solicitud, Autoridad Certificadora
de la seguridad de la posteriormente debe contar con un
informacin. actualizaciones cada documento de Poltica de
Contiene los lineamientos que existan cambios Seguridad de la
bajo los cuales se rige la en las directivas y Informacin autorizado,
seguridad de la informacin. polticas de debe estar publicada y
Polticas especficas 3. Poltica para seguridad de seguridad. disponible para el
6 de seguridad de la los recursos humanos. - Deben cumplir con personal interno y
informacin Polticas relacionadas a la ISO27000, Risk IT o terceros que colaboren
administracin del recurso
equivalente. con la empresa.
humano.
*Las polticas Debe de implementar un
4. Poltica de gestin de
debern ser Sistema de Gestin de
activos. - Polticas que
revisadas por lo Seguridad de la
definirn el proceso con lo
menos una vez al Informacin (SGSI),
cual se gestionarn los
ao. protocolizado de
activos.
conformidad a ISO27000
5. Poltica de control de por lo menos.
accesos. - Poltica que
detalla el acceso a las
diferentes instalaciones.

6. Poltica de criptografa. -
Poltica de uso de
criptografa en aplicaciones
y servicios.
7. Poltica de seguridad
fsica y ambiental. - Polticas
que rigen la seguridad fsica
y ambiental de las distintas
instalaciones.
8. Poltica de seguridad en
las operaciones. - Polticas
con las consideraciones de
seguridad para las
operaciones diarias.
9. Poltica de seguridad en
las comunicaciones. -
Polticas que rigen las
comunicaciones para los
activos que participan en el
proceso.
10. Poltica para la
adquisicin, desarrollo y
mantenimiento de sistemas.
Las polticas que tienen
impacto en la operacin, los
nuevos sistemas y su
impacto en los mismos.
11. Poltica de relaciones
con los proveedores.
Las polticas que rigen el
trato con los proveedores as
como las implicaciones de
seguridad que se deben
considerar.
12. Poltica para la gestin
de incidentes de seguridad
de la informacin
Poltica que regir la gestin
del incidente, desde que se
presenta el mismo.
13. Poltica para la gestin
de los aspectos de
seguridad de la informacin
en la continuidad de
negocio.
Poltica con las
consideraciones que se
tomarn para el desarrollo
del plan de continuidad del
negocio (por sus siglas en
ingls BCP, Bussiness
Continuity Plan).
14. Poltica para el
cumplimiento. - Reglas que
se van a tomar en cuenta
para el seguimiento y
cumplimiento de las
normativas de la AC.
'15. Poltica de uso de
contraseas.
La AC debe contar con una
poltica de uso de
contraseas, donde se
especifique la
responsabilidad de los
usuarios en el uso de las
mismas, caducidad y
proteccin de las mismas.

16. Poltica de equipo


desatendido.

La AC debe contar con una


poltica de equipo
desatendido, donde se
especifiquen los
requerimientos de seguridad
para el equipo cuando el
usuario no est presente.

17. Poltica de escritorio


limpio.

La AC debe contar con una


poltica de Escritorio limpio,
donde se especifiquen los
requerimientos de seguridad
para los puestos de trabajo.

18. Poltica de control de


accesos.

La AC debe tener una


poltica y procedimientos
formales de Control de
Accesos que apliquen por lo
menos a todos los activos
que dan soporte al proceso
de la AC, mismos que deben
ser revisados y actualizados
por lo menos cada 6 meses.

Se debe de tener una carta


responsiva firmada
especfica para el rol y
responsabilidades de cada
elemento que va a participar

Roles, en la prestacin del servicio. * Documentos con las

responsabilidades y cartas responsivas de los


Debe de considerar por lo
Deben cumplir con
autoridad con participantes.
menos tipo de documento,
7 ISO27000, Risk IT o
respecto a la rea, fecha, nombre, puesto, * Organigrama
equivalente.
seguridad de la descripcin, texto que * Roles dentro del
informacin. identifique a qu informacin organigrama.
accede, responsabilidades y
obligaciones, marco de
referencia normativo (interno

Estructura y externo), firma y fecha de

organizacional aceptacin y conformidad.

Gestin de administracin
del riesgo:

1.-Diseo o eleccin del


marco de trabajo para
administrar el riesgo.
Marco de trabajo
seleccionado para la 2.-Implementar la Deben cumplir con
Documento con el marco
8 gestin de riesgos de administracin de riesgos. ISO27000, Risk IT o
de trabajo.
seguridad de la 3.-Monitorear y revisar el equivalente.
informacin. marco de trabajo.

4.-Mejora continua del


marco de trabajo.

Lo anterior es enunciativo
mas no limitativo.

Gestin de riesgos 9 Metodologa para la 1. Nivel de riesgo aceptable. Deben cumplir con Documento con la
gestin de riesgos 2. Proceso de valoracin de ISO27000, Risk IT o metodologa a seguir.

riesgos: equivalente.

2.1 Identificacin de
riesgos.

2.2 Anlisis de riesgos.

2.3 Evaluacin de riesgos.

3. Proceso de tratamiento de
riesgo:

3.1 Seleccin de tipo de


tratamiento con justificacin.

3.2 Declaracin de
aplicabilidad de los controles
de seguridad de la
informacin.

3.2.1 Determinar la
aplicacin o no de los
controles as como las
razones para su aplicacin o
no aplicacin.

3.2.2 Determinar si el
control est operando as
como su efectividad. En
caso contrario, mostrar su
plan de despliegue
correspondiente.

3.3 Plan de implementacin


de controles.

1. Valoracin del clculo del


Ejecucin de los Deben cumplir con Documento con los
nivel del riesgo.
10 procesos de gestin ISO27000, Risk IT o resultados de la gestin
2. Trazabilidad de la gestin
de riesgos. equivalente. de riesgo.
del riesgo.

1. Deben estar alineados


con la poltica de TIC.

2. Deben de ser medibles.

3. Deben de tomar en
cuenta los requerimientos de
seguridad de la informacin,
resultados de anlisis de
riesgos propios y
tratamientos de los riesgos.

4. Deben de estar
comunicados en la AC.

5. Deben de estar
actualizados. Documento y plan de
Objetivos de Deben cumplir con
Objetivos y 6. Deben incluir un Plan de trabajo con los objetivos
11 seguridad de la ISO27000, Risk IT o
competencias trabajo para su cumplimiento de la seguridad de la
informacin equivalente.
6.1 Qu es lo que se va a informacin.
hacer?

6.2 Qu recursos son


requeridos?

6.3 Quin va a ser


responsable?

6.4 Cundo se va a
completar?

6.5 Cmo se van a evaluar


los resultados?

Los numerales son


enunciativos mas no
limitativos.

12 Competencias 1. Las personas que Deben cumplir con Documento con las
participan en los servicios ISO27000, Risk IT o competencias por rol y
del negocio o son
encargados de la seguridad
de la informacin debern
tener la competencia equivalente.
requerida para desempear Presentar currculos
sus funciones. (Con base a acompaados de las
su experiencia, educacin certificaciones
plan de capacitacin.
y/o entrenamiento respaldo de las
adecuado) competencias en
2. Plan de capacitacin o Seguridad de la
entrenamiento para alcanzar Informacin.
o retener las competencias
requeridas para desempear
las funciones.

La AC debe de determinar
las necesidades de
comunicacin interna y
externa relevante para la
administracin del sistema
de seguridad de la
informacin en la cual se
Gestin de debe de incluir lo siguiente:
comunicacin de 1. Qu es lo que se debe Deben cumplir con
seguridad de la de comunicar? Documento que detalle la
Comunicacin 13 ISO27000, Risk IT o
informacin con gestin de comunicacin.
2. Cundo se debe de equivalente.
entidades internas y
comunicar?
externas.
3. A quin se le debe de
comunicar?
4. Quin lo debe de
comunicar?
5. Los procesos que pueden
ser afectados por la
comunicacin.

El personal que este


participando debe de tener
conocimiento de:
1. La poltica de seguridad
de la informacin.
2. Su participacin para la
efectividad de la seguridad
de la informacin y sus
beneficios.
3. Las implicaciones de no Deben cumplir con Plan de concientizacin.
14 Concientizacin cumplir con los ISO27000, Risk IT o Listados de asistencia
requerimientos de la equivalente. con fecha y firma.
seguridad de la informacin.

4. Las sanciones internas a


las que se haran
acreedores en caso de no
cumplir con alguna de las
polticas de seguridad de la
informacin.

Los puntos son enunciativos


mas no limitativos.

rea de control: Operacin de la Seguridad de la Informacin en la AC

Planear, implementar y
controlar los requerimientos Plan operativo de
y objetivos de seguridad de seguridad de la
Deben cumplir con
Operacin de la informacin. Debe de informacin, controles de
15 Operacin ISO27000, 31000,
seguridad considerar el control de cambio, controles de
Risk IT o equivalente.
cambios, as como plan de seguridad de la
accin para mitigar cualquier informacin.
efecto adverso.
Monitoreo y auditora
rea de control: Evaluacin del rendimiento de la Seguridad de la Informacin en la AC

La AC deber evaluar si el
desempeo y efectividad de
su servicio y la seguridad se
encuentran acorde a sus
polticas y procesos:

1. Determinar qu se debe
de monitorear y medir.

2. Determinar qu mtodos
se van a utilizar para
monitorear, medir, analizar y
evaluar.

3. Determinar cundo se
deben de monitorear y
Documento de gestin de
medir. Deben cumplir con
Monitoreo, medicin, monitoreo, reportes de
16 4. Determinar quin debe de ISO27000, Risk IT o
anlisis y evaluacin. operacin y atencin a
monitorear y medir. equivalente.
desviaciones.
5. Determinar cundo se
revisarn los resultados de
monitoreo.

6. Quin deber realizar el


anlisis y evaluacin de
estos resultados.

7. Quin detonar y dar


seguimiento a las acciones
correctivas.

* Se debe de considerar el
servicio ofrecido al
solicitante y su operacin
interna.

17 Auditoras realizadas La AC debe realizar 1 vez al ao como Reporte de auditora.


mediante personal auditoras internas por mnimo.
autorizado y personal interno o externo
seguimiento con las credenciales
adecuadas para la revisin
de los controles, los
auditores debern tener
independencia operativa.

La auditora evaluar el
cumplimiento de los
objetivos o requerimientos
de seguridad de la
informacin que se hayan
trazado, lo efectivo y eficaz
que hayan implementado los
controles de seguridad de la
informacin para gestionar
los riesgos.

Se deber revisar el
cumplimiento de la matriz
presente.

Se deber planear,
establecer e implementar un
plan de auditora, que
incluya frecuencia,
seguimiento del resultado de
las auditoras y responsable
de las actividades.

La AC debe tener acuerdos


de confidencialidad y/o
acuerdos de no divulgacin
de informacin, firmados con
su personal interno y
externo, y deben ser
revisados de manera
* Acuerdos de
peridica. Es importante que Deben cumplir con
Acuerdos de confidencialidad.
18 la responsabilidad del ISO27000, Risk IT o
Confidencialidad * Acuerdos de no
personal que firma se equivalente.
divulgacin.
encuentre vigente durante el
desempeo de sus
actividades, en caso de que
deje de laborar en la
empresa considerar un
periodo posterior en el cual
tenga efecto.

La AC debe contar con Documento con


procedimientos formales informacin como
para mantener contacto y Cumplir con el Nombres, telfonos,
Contacto con las
19 permitir investigaciones por proceso ASI del correos electrnicos,
Autoridades
Clasificacin de la Informacin

parte de las autoridades. Ej. MAAGTICSI. telfonos de emergencia


Proteccin civil, el SAT, de las autoridades
seguridad pblica. relevantes.

Certificaciones,
constancias de asistencia
La AC debe estar en
a cursos de seguridad,
contacto con grupos Cumplir con el
Contacto con Grupos subscripciones con
20 especializados en seguridad proceso ASI del
de Inters Especial autoridades en seguridad
y/o asociaciones MAAGTICSI.
como en NIST, SANS,
profesionales.
ENISA, ISO, CERTs,
etc.

Como mnimo se
deber considerar lo
establecido en la Ley
La AC debe contar con una
Federal de
poltica y procedimientos Poltica con clasificacin
Poltica de Proteccin de Datos
formales para la clasificacin de la informacin en:
21 Clasificacin de la Personales en
de la informacin de acuerdo pblica, reservada y
Informacin Posesin de los
a su relevancia o confidencial.
Particulares y el
sensibilidad.
artculo 69 del Cdigo
Fiscal de la
Federacin.

La AC debe contar con


procedimientos formales
Poltica de etiquetado,
para etiquetar y manejar la
Etiquetado y Manejo Debe cumplir con manejo y resguardo de la
22 informacin tanto en formato
de la Informacin ITIL. informacin de acuerdo a
electrnico como en
su clasificacin.
formatos fsicos de acuerdo
a su clasificacin.

Seguridad en el Personal

Personal Interno 23 Seleccin del Se debe llevar a cabo la Cada que se contrata Cartas de antecedentes
Personal verificacin de antecedentes personal nuevo. no penales de los
de todos los candidatos a empleados.
puestos internos de la AC. Certificaciones
correspondientes al perfil
y rol del puesto.
El personal deber
aprobar un examen de
control de confianza,
para todas las reas:
administrativas, tcnicas
y operativas, debiendo
realizarlo al menos cada
2 aos.

La AC debe contar con


Poltica y procedimientos
procedimientos para llevar a
Deben cumplir con para la eliminacin de
cabo la eliminacin de
Eliminacin de ISO27000, accesos lgicos y fsicos
24 accesos lgicos y fsicos al
Derechos de Acceso ISO31000, Risk IT o al personal interno o
personal interno o externo
equivalente. externo que ya no labore
que ya no labore en la
en la empresa.
empresa.

La AC debe contar con un


procedimiento para la
devolucin de los activos
Deben cumplir con
que el personal tuvo Poltica y procedimientos
ISO27000,
25 Devolucin de Activos asignado mientras laboraba para la devolucin de
ISO31000, Risk IT o
para la AC. activos.
Terminacin del equivalente.
Proceso de sanitizacin de
Empleo
la informacin en los
equipos.

Se deben revisar los


contratos, clusulas y
acuerdos de
confidencialidad para
Deben cumplir con
Responsabilidades garantizar que el personal Contrato laboral y
ISO27000,
26 del personal dado de dado de baja conserva sus acuerdos de
ISO31000, Risk IT o
baja obligaciones con respecto a confidencialidad.
equivalente.
la confidencialidad de la
informacin a la que tuvo
acceso durante su estancia
en la AC.

Gestin de los Activos

Todos los activos deben * Polticas y


estar claramente procedimientos de
identificados. Se debe Debe cumplir con
27 Inventario de Activos gestin de activos.
elaborar y mantener un ITIL.
*CMDB.
inventario actualizado de
* Inventario de Activos.
todos los activos de la AC.

Toda la informacin y los


activos asociados con los
medios de procesamiento de Polticas y
Propiedad de los Debe cumplir con
Gestin de los 28 la informacin deben ser procedimientos de
activos ITIL.
Activos propiedad (responsabilidad) manejo de activos.
de una parte designada de
la AC.

La AC debe contar con una


poltica y procedimientos
para identificar, documentar Polticas y
Uso aceptable de Debe cumplir con
29 e implementar las reglas procedimientos de
activos ITIL.
para el uso aceptable de la manejo de activos.
informacin y los activos
asociados.

Seguridad Fsica en Oficinas

Seguridad Fsica 30 Permetro de Se deben utilizar permetros Deben cumplir con * CCTV.
Seguridad Fsica de seguridad (barreras tales ISO27000, * Custodia de las
como paredes y puertas de ISO31000, Risk IT o oficinas.
ingreso controlado, policas equivalente.
* Bitcora de acceso.
o recepcionistas) para
proteger reas operativas y
de oficina que contienen
informacin de la AC.

Se deben proteger las reas


seguras mediante controles Deben cumplir con
Poltica y bitcoras de
de entrada apropiados para ISO27000,
31 Controles de Entrada acceso a las
asegurar que slo se ISO31000, Risk IT o
instalaciones.
permita acceso al personal equivalente.
autorizado.

Procesos de Gestin de la Seguridad

La AC debe contar con una


poltica y procedimientos * Proceso de gestin de
para la Gestin de incidentes.
Incidentes de Seguridad, * Matriz de escalamiento
que maneje como mnimo: de incidentes y
- Identificacin de Incidentes Deben cumplir con problemas.

Incidentes y y Problemas. ISO27000, * SLA vigentes.


32
Problemas - Registro de Incidentes y ISO31000, Risk IT o * Incidentes de
Problemas (indicando tipo, equivalente. seguridad, su
clasificacin, diagnstico). clasificacin,
- Notificacin y Escalamiento seguimiento,
Manejo de
de Incidentes y Problemas. responsables y fechas
Incidentes y
Problemas - Seguimiento y solucin de compromiso de solucin.

Incidentes y Problemas.

* Procedimientos de
La AC debe contar con notificacin en caso de
procedimientos de Incidentes.
Notificacin a la notificacin a la Secretara, o Deben cumplir con
* Matriz de escalamiento
Secretara, o en su en su caso, a la SE o al SAT, ISO27000,
33 de incidentes.
caso, a la SE o al en caso de Incidentes o ISO31000, Risk IT o
* Directorio telefnico de
SAT problemas que puedan equivalente.
contactos de la AC.
comprometer la informacin
de los ciudadanos. * Directorio telefnico de
contactos.

La AC debe definir aquellos


eventos de seguridad que
van a monitorear, de
acuerdo a su anlisis de * Proceso de respuesta a
riesgos, en los cuales deben incidentes donde exista
considerar como mnimo: Deben cumplir con
una definicin clara de lo
Monitoreo de Definicin de Eventos ISO27000,
34 - Uso de cuentas que es un incidente de
Seguridad de Seguridad ISO31000, Risk IT o
privilegiadas. seguridad y cmo se
equivalente.
- Acceso a informacin con debe de tratar y escalar.

clasificacin alta de * Matriz de escalamiento.


confidencialidad.

- Comportamiento anormal
de los equipos.

BCP 35 Plan de Continuidad La AC debe contar con un Deben cumplir con BCP derivado de un BIA.
del Negocio BCP documentado y ISO27031 e
aprobado. ISO22301.

El BCP debe incluir el


proceso de AC, incluyendo
como mnimo:

Identificacin de los activos


que le dan soporte al
proceso.
Requerimientos de
procesamiento, personal,
informacin y todo lo
necesario para garantizar la
continuidad del servicio de la
AC.

La AC debe contar con un


Reporte anual de los
plan de ejecucin de
36 Pruebas de BCP 12 meses. resultados de las pruebas
pruebas del BCP por lo
al BCP.
menos cada 12 meses.

Se debe planear, monitorear,


y ajustar el uso de recursos
tecnolgicos (software,
equipos, comunicaciones,
etc.) para asegurar el
desempeo requerido por
Plan anualizado de
Capacidad los sistemas que dan
37 12 meses. gestin de la capacidad
Tecnolgica soporte al proceso de AC,
tecnolgica.
por lo menos durante 12
meses.
Se debe dar cumplimiento a
las medidas necesarias
identificadas durante la
Gestin de la planeacin y monitoreo.
Capacidad
Se debe planear, monitorear,
y ajustar el uso de recursos
operativos (personal,
herramientas, espacios)
para asegurar el desempeo
requerido por los sistemas Plan anualizado de
38 Capacidad Operativa que dan soporte al proceso 12 meses. gestin de la capacidad
de AC, por lo menos durante operativa.
12 meses.
Se debe dar cumplimiento a
las medidas necesarias
identificadas durante la
planeacin y monitoreo.

Seguridad de la Plataforma Tecnolgica


La AC debe contar con un
plan de recuperacin de
desastres para su centro de
12 meses,
Plan de Recuperacin datos que incluya por lo
39 cumpliendo con DRP derivado de un BIA.
de Desastres menos los activos
ISO24762.
DRP necesarios para el
funcionamiento del proceso
de AC.
Reporte anual de los
La empresa debe contar con Anual, cumpliendo
40 Pruebas del DRP resultados de las pruebas
un plan de pruebas del DRP. con ISO24762.
al DRP.
Manejo de 41 Manejo de La AC debe de contar con
Certificados Certificados un proceso formal de
manejo de certificados que
cubra como mnimo los
siguiente puntos:
1.- Proceso de identificacin
y autenticacin de la entidad
solicitante del servicio de
certificacin PKI.
2.- Proceso de Registro y
enrolamiento.
3.- Proceso de Generacin
(definicin tcnica de
algoritmos y tamao de las
llaves acorde al marco
regulatorio).
4.- Proceso de Emisin y
entrega del documento
digital.
5.- Proceso de Publicacin
de los documentos digitales.
6.- Proceso de Renovacin
de los documentos digitales.
7.- Proceso de Suspensin
de los documentos digitales.
8.- Proceso de Revocacin
de los documentos digitales.
9.- Proceso de Archivado y
resguardo de los
documentos digitales
conforme a la norma NOM-
151-SCFI-2002, Prcticas
comerciales-Requisitos que
deben observarse para la
conservacin de mensajes
de datos, o aquella que le
sustituya.

La AC debe de contar con


un equipo especfico con
caractersticas de
certificacin FIPS_140-3 y
documentacin en donde se
detalle la ejecucin de al
menos los siguientes
procesos de seguridad:

1.- Proceso inicio seguro y


configuracin inicial.

2.- Proceso de definicin y


configuracin de dominios
de seguridad.

3.- Proceso de inicializacin


de llave privada y
Resguardo de Resguardo de Llaves generacin del archivo *.req.
42
Llaves digitales digitales
4.- Proceso de configuracin
de web service y/o
integracin del API del
fabricante.

5.- Proceso de Respaldo del


equipo.

6.- Proceso de configuracin


de alta disponibilidad del
equipo.

7.- Proceso de Cambio de


Llaves de acceso al equipo.

8.- Proceso de Destruccin


de llaves del equipo.

9.- Proceso de revocacin


de llaves comprometidas.

Manejo de Llaves 43 Manejo de Llaves La AC debe de contar con


un proceso formal de
manejo de certificados que
cubra lo siguiente:

1.- Proceso de Distribucin.

2.- Proceso de
Almacenamiento.

3.- Proceso de Uso.

4.- Proceso de Respaldo.

5.- Proceso de Cambio de


Llaves.

6.- Proceso de Destruccin.

7.- Proceso de Llaves


Comprometidas.
Protocolo de
verificacin de La AC deber de
estatus del implementar el servicio de
certificado en lnea OCSP pblico para Debe cumplir RFC Disponibilidad del
44 Servicio de OCSP
(OCSP, por sus validacin del estado de los 6960. servicio 99.999%
siglas en ingls, Certificados Digitales de
Online Certificate Firma Electrnica Avanzada.
Status Protocol)

Lista de
La AC deber de
certificados Disponibilidad del
implementar el servicio de
revocados (CRL, Debe cumplir RFC servicio 99.999%,
45 Servicio de CRL CRL pblico para validacin
por sus siglas en 5280. actualizado cada 12
de certificados revocados de
ingls, Certificate horas al menos.
firma electrnica avanzada
Revocation List)

Gestin de cuentas La AC debe documentar


procedimientos formales
para las Altas, Bajas y
Cambios de accesos de
usuarios, que incluyan como
mnimo:

- Bloqueo de las cuentas por


Altas, Bajas y Deben cumplir con
intentos fallidos de Procedimiento de gestin
46 Cambios de Accesos ISO27000 e ITIL o
autenticacin. de cuentas.
de Usuarios equivalente.
- Bloqueo de cuentas por
periodo de inactividad.

Los accesos remotos slo se


debern proporcionar bajo
circunstancias de excepcin
y con un estricto proceso de
autorizaciones y monitoreo.

La AC debe contar con


procedimientos formales
para restringir y controlar la
Deben cumplir con Procedimiento de gestin
asignacin y uso de los
47 Gestin de Privilegios ISO27000 e ITIL o de cuentas con
privilegios. Debe existir un
equivalente. privilegios.
catlogo con la descripcin
de privilegios y la asignacin
de los mismos.

La AC debe contar con


procedimientos formales de
asignacin de contraseas,
mismos que deben contar
por lo menos con las
siguientes reglas:
Gestin de Deben cumplir con
- Reglas para la creacin de Poltica de gestin y
48 Contraseas de ISO27000 e ITIL o
contraseas (longitud cifrado de contraseas.
Usuarios equivalente.
mnima, histrico, caracteres
permitidos, etc.).

- Las contraseas se deben


encriptar en todos los
activos que dan soporte al
proceso de AC.

49 Revisin de Permisos La AC debe realizar 6 meses. Procedimiento de altas o


peridicamente (por lo cambios de accesos de
menos cada 6 meses) una usuarios.
revisin de los usuarios
existentes en los sistemas
de informacin y activos,
para verificar que sus
permisos sigan siendo
vigentes de acuerdo al
procedimiento de altas o
cambios de Accesos de
Usuarios.

El centro de datos debe


estar asentado en lugares
libres de altos riesgos, por lo
menos a 100 m de lugares
Plano de ubicacin del
Ubicacin del Centro como gasolineras, gaseras,
Seguridad Fsica 50 100 m centro de datos y sus
de Datos minas, acometidas de
colindancias.
cableado de electricidad y
gas, etc. y deber estar
dispuesta como una
instalacin no evidente.

El centro de datos debe


estar protegido por un
permetro de acceso fsico
controlado, controles de
acceso automatizados y
procedimientos formales de
control de accesos. Deben cumplir con
Control de Accesos Autenticacin para el
51 El personal que acceda al ISO27000 e ITIL o
Fsicos acceso.
centro de datos no deber equivalente.
introducir medios de
almacenamiento extrables
sin autorizacin.

Las bitcoras de acceso


debern resguardarse en un
lugar seguro.

El centro de datos debe


contar con personal de
Informacin respecto a la
vigilancia las 24 horas y un
seguridad fsica con la
sistema de monitoreo de las
que cuenta la AC,
instalaciones (CCTV, etc.).
considerando los
El sistema de monitoreo
controles de seguridad
debe almacenar los videos
tales como, CCTV,
de vigilancia con historial de
bardas perimetrales,
52 Vigilancia y Monitoreo por lo menos 30 das y 30 das.
sistemas de control de
almacenarlos en un lugar
acceso y autenticacin al
seguro, fuera de las
rea de servidores,
instalaciones principales.
control y gestin de
El personal debe estar
exclusas, bitcoras del
debidamente capacitado y
personal visitante al
contar con las herramientas
centro de datos.
necesarias para responder
en caso de emergencias.

53 Sealizacin Las instalaciones deben Deben cumplir con Instructivo de


contar con sealizacin que ISO27000 e ITIL o sealizacin de las
indique claramente: equivalente. reas.

- reas de acceso
restringido.

- Rutas de evacuacin.

- Ubicacin del equipo de


emergencia.

Informacin de sensores
de humo, aspersores,
El centro de datos debe Contar con sensor de humedad,
Medidas contra
54 contar con medidas de certificacin TIERIV extintores o cualquier
Incendios
proteccin contra incendios. o equivalente. otro mecanismo de
medidas contra
incendios.
Controles
Contrato del
Ambientales El centro de datos debe Contar con
mantenimiento de los
55 Aire Acondicionado contar con un sistema de certificacin TIER-IV
sistemas de aire
aire acondicionado. o equivalente.
acondicionado.

El centro de datos debe Contrato del


Contar con
Medidas contra contar con medidas de mantenimiento de los
56 certificacin TIER-IV
Inundaciones proteccin contra sistemas de flujo de
o equivalente.
inundaciones. agua.

El centro de datos debe


Contrato del
contar con medidas de
mantenimiento de:
seguridad en el cableado y
medidas de respaldo de a) Generadores.
Contar con
energa de emergencia. b) UPS.
57 Instalacin Elctrica certificacin TIER-IV
La infraestructura elctrica c) Bateras de respaldo.
o equivalente.
debe revisarse por lo menos d) Acometidas de
cada 6 meses para energa.
Servicios de garantizar su buen
Soporte e) Cableado.
funcionamiento.

El centro de datos debe


contar con planes de
mantenimiento y contratos Contar con
Planes y Contratos de Contratos de
58 vigentes con proveedores de certificacin TIER-IV
Mantenimiento Mantenimiento.
los medios y dispositivos de o equivalente.
controles ambientales y
servicios de soporte.

Las redes dentro del centro


Deben cumplir con
Prevencin y de datos deben contar con Configuracin, reglas y
59 ISO27000 e ITIL o
Deteccin de Intrusos dispositivos de prevencin o estatus del IDS/IPS.
equivalente.
deteccin de Intrusos.

* Configuracin de las
reglas o listas de control
La red debe estar protegida de acceso del FW.
Deben cumplir con
con dispositivos de
60 Proteccin Perimetral ISO27000 e ITIL o * Proceso de gestin del
Comunicaciones seguridad que apliquen
equivalente. FW.
listas de control de acceso.
* Control de acceso al
FW.

Las redes deben estar


segmentadas para proteger Deben cumplir con
Segmentacin de Controles de segregacin
61 el flujo de informacin en ISO27000 e ITIL o
Redes de redes.
redes con distintos tipos de equivalente.
usuarios.

Lneas Base de 62 Lneas Base de El aplicativo debe tener Deben cumplir con Documento con
Seguridad Seguridad aplicada una lnea base de ISO27000 e ITIL o configuracin y lnea
(Endurecimiento y seguridad que debe incluir equivalente. base de seguridad del
Actualizacin) como mnimo: aplicativo, listado de
- Implementacin de activos, versin del
autenticacin de los usuarios sistema.
(internos o clientes).
- Implementacin de
mecanismo de no repudio de
transacciones.
- Proteccin contra inyeccin
de cdigo.
- Inicio de sesin seguro.
- Validacin de datos de
entrada / salida para evitar
errores en el procesamiento
de la informacin.
- Manejo de errores.
- Endurecer el sistema.
(Hardening)
Los activos (aplicativos,
servidores, bases de datos,
dispositivos de red, etc.) del
centro de datos que dan
soporte al proceso de AC
deben contar con lneas
base de seguridad
documentadas e
implementadas, que
consideren como mnimo:
- Proteccin del BIOS en
arranque de los sistemas.
- Deshabilitacin de
unidades de
almacenamiento removibles.
- Instalacin del S.O. en
particin exclusiva.
- Inhabilitacin de puertos,
protocolos usuarios y
servicios innecesarios.
- Recomendaciones de
seguridad del fabricante del
equipo y sistema operativo.

Los activos que dan soporte


al proceso de AC deben
contar con los ltimos Polticas y
parches de seguridad y procedimientos de control
actualizaciones emitidas por Deben cumplir con de cambios y control de
63 Actualizaciones el fabricante de los ISO27000 e ITIL o pruebas para el
servidores y sistemas equivalente. despliegue de nuevos
operativos que hayan parches y/o
pasado por un actualizaciones.
procedimiento de pruebas
previas a la implementacin.

Respaldos Se deben generar respaldos


de los activos y la Poltica y procedimientos
informacin que dan soporte Periodicidad definida para la generacin,
64 Respaldos
al proceso de AC, con la por la AC. etiquetado y resguardo
periodicidad definida por la de los respaldos.
AC.

Los medios donde se


almacene informacin de los
solicitantes y de la AC
debern estar inventariados
y etiquetados con el nivel
65 Etiquetado ms alto de confidencialidad
definido en el proceso de
clasificacin de informacin,
y se deber dar el
tratamiento de acuerdo a la
clasificacin.

Se debe contar con un plan


Deben cumplir con * Plan de pruebas de
Pruebas de de pruebas de los respaldos
66 ISO27000 e ITIL o respaldos.
Respaldos para verificar que son
equivalente. * Bitcora de respaldos.
funcionales.

67 Proteccin de Medios Los medios donde se Deben cumplir con * Cifrado de los
de Respaldo almacenan los respaldos ISO27000 e ITIL o respaldos.
debern estar protegidos en
un rea especfica para este * Responsables que

efecto, en un sitio alterno, en cuenten con acceso a los

medios encriptados y con equivalente. respaldos.

medidas de proteccin * Controles de seguridad


contra el acceso no fsica (caja fuerte).
autorizado.

Los medios donde se


almacenen respaldos o
informacin de los
solicitantes o de la AC
debern estar sujetos a un
procedimiento formal de
Deben cumplir con
destruccin o borrado Acta de destruccin,
Destruccin o ISO27000,
68 seguro que debe contener ordenes de servicio de
Borrado ISO31000, Risk IT o
como mnimo: destruccin.
equivalente.
- Solicitud y Autorizacin
explcitas de la destruccin o
borrado.

- Actas de destruccin o
borrado firmadas por el
personal que lo realiza.

Criptografa Los servicios del aplicativo


que se encuentren
Documento en donde se
expuestos para el consumo Deben cumplir con
especifiqu el mtodo y
Criptografa en por parte de los clientes, ISO27000,
69 la criptografa usada en
servicios expuestos debern contar con ISO31000, Risk IT o
caso de tener servicios
mecanismos de criptografa. equivalente.
expuestos.
Se deber de utilizar un
algoritmo de cifrado.

70 Proteccin de Llaves Las llaves y Certificados Implementacin de Caractersticas del HSM,


y Certificados usados para el cifrado deben HSM. registro de insercin,
estar protegidos por un cambios a los
dispositivo recubierto con certificados, documento
algn material opaco y de segregacin de roles,
contar con salvaguardas que bitcoras.
impidan que sea abierto o
que invaliden la informacin
en caso de que sea forzado,
adems de contar por lo
menos con las siguientes
medidas:

- Control de Accesos Fsicos


y Lgicos (Slo personal
autorizado).

- Registro de Hashes de
Control.

- Segregacin de roles con


acceso a los dispositivos de
almacenamiento de llaves y
certificados.

- Instalacin nica de la llave


provista para la operacin de
la AC (respaldada por un
acta firmada por los
responsables de su
instalacin y custodia).
-Contexto o particin
exclusiva para el
almacenamiento de los
certificados.

Se deben realizar,
documentar y dar
Deben cumplir con Plan de pruebas de
seguimiento a pruebas de
Pruebas de ISO27000, seguridad, reportes de
71 seguridad en los activos que
Seguridad ISO31000, Risk IT o las pruebas de seguridad
dan soporte al proceso de
equivalente. y hallazgos.
AC al igual que al propio
aplicativo de AC.

Pruebas de Se debe realizar un plan


Seguridad para atender los hallazgos
detectados durante las
Deben cumplir con
Seguimiento a pruebas de seguridad y Plan de seguimiento a los
ISO27000,
72 hallazgos de pruebas reportar a la Secretaria, en hallazgos y control de
ISO31000, Risk IT o
de Seguridad su caso a la SE o al SAT, en cambios de los mismos.
equivalente.
un lapso no mayor a 24
horas, el diagnstico y la
solucin pertinente.

Todos los activos


tecnolgicos que dan
Deben cumplir con
soporte al proceso de AC
Proteccin Contra Proteccin contra ISO27000, IPS, IDS, antivirus,
73 debern contar con una
Cdigo Malicioso Cdigo Malicioso ISO31000, Risk IT o programas de proteccin.
solucin de proteccin
equivalente.
contra cdigo malicioso
instalada y actualizada.

Los ambientes de desarrollo,


pruebas y produccin deben
Deben cumplir con
Separacin de estar separados fsica o Diagrama de arquitectura
74 ISO27000 e ITIL o
Ambientes lgicamente unos de otros y de hardware.
equivalente.
todos deben tener su propia
Separacin de administracin de accesos.
Ambientes La informacin del proceso
Diagrama de
de AC debe estar separada
Deben cumplir con arquitectura, listado de
Aislamiento de fsica o lgicamente de la
75 ISO27000 e ITIL o activos, arquitectura de
informacin informacin de otros
equivalente. software, diagrama de
procesos o aplicativos
red y reglas de red.
proporcionados por la AC.

Seguridad en El aplicativo de AC debe


Aplicativo contar con documentacin
tcnica completa.
La documentacin tcnica
debe incluir como mnimo: Deben cumplir con Mapa del flujo de datos,
76 Documentacin ISO12207 y SCRUM modelo y diccionario de
- Flujo de Datos.
o SEI-CMM. la base de datos.
- Modelo y Diccionario de
Datos.
- Diagrama de
implementacin.

El aplicativo debe contar con


un proceso formal de control
de cambios, que debe incluir
como mnimo: Documento con el
- Estimacin de impacto de Deben cumplir con proceso de control de
77 Control de Cambios cambios. ISO12207 y SCRUM cambios, evidencia de un
- Pruebas. o SEI-CMM. control de cambios,
bitcoras, aprobaciones.
- Autorizacin.
- Liberacin de cambios.
- Reversos de cambios.

78 Bitcoras El aplicativo debe contar con 12 meses en sistema Bitcoras, pantallas.


bitcoras de acceso y uso, y 5 aos en histrico.
que deben contener como
mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Folio.
- Detalle de la actividad
(RFC y detalle como
mnimo).
Se debe registrar lo
siguiente en la bitcora:
- Registro de intentos de
acceso fallidos.
- Registro de accesos
exitosos.
- Registro de cierre de
sesin ya sea por inactividad
o por parte del usuario.
- Registro de consulta de las
propias bitcoras.
- Registro de errores y/o
excepciones.
- Registro de actividad de los
usuarios:
a) Registro de Altas, Bajas y
cambios.
b) Registro de impresiones.
c) Registro de consultas a
documentos.
d) Registro de documentos.
Lo anterior a nivel base de
datos, aplicacin y sistema
operativo.
Las bitcoras estn
enfocadas al personal
administrativo de la
aplicacin o servicio.

El aplicativo debe contar con


sesiones que expiren
Expiracin de sesin despus de mximo 10
79 Mximo 10 minutos. Pantalla.
por inactividad minutos de inactividad. El
reingreso deber de solicitar
de nuevo las credenciales.

Se debe de especificar un
procedimiento por medio del
Procedimiento de cual la Secretara, o en su Deben cumplir con
Acceso a base de Documento que contenga
80 acceso a la base de caso la SE o el SAT, puedan ISO27000 e ITIL o
datos el proceso.
datos tener acceso a las bases de equivalente.
datos de informacin de la
AC.

Cumpliendo con
(segn aplique):
RFC 5905: Network
Time Protocol Version
4: Protocol and
Algorithms
Specification.
RFC 5906: Network
Las transacciones de Time Protocol Version
timbrado del proceso de AC 4: Autokey
Configuracin y uso de
Servidor de tiempo 81 NTP deben estar sincronizadas Specification.
servidor de tiempo.
usando un servidor de NTP RFC 5907:
con GPS. Definitions of
Managed Objects for
Network Time
Protocol Version 4
(NTPv4).
RFC 5908: Network
Time Protocol (NTP)
Server Option for
DHCPv6.

Encripcin de 82 Encripcin de datos Debe existir una poltica y Deben cumplir con Documentos,
Datos del solicitante. procedimientos formales que ISO27000, procedimiento, mejores
aseguren el manejo de la ISO31000, Risk IT o prcticas.
informacin y los datos equivalente.
personales de los
solicitantes. Los cuales
deben estar encriptados
tanto en su almacenamiento,
trnsito y medios que los
contengan.
Deber de existir un
procedimiento de resguardo
de certificados apegado a
las mejores prcticas.
Poltica de cifrado de
informacin y gestin de las
llaves pblicas y privadas.
Se deben de contemplar por
lo menos los requerimientos
para la proteccin de datos
personales en posesin de
particulares, de conformidad
con las disposiciones
jurdicas aplicables en la
materia.

Debern de existir procesos


y procedimientos para la
gestin de la integridad de la
informacin almacenada y
gestionada en servicio.
Implementar un proceso de
monitoreo que detalle el
mecanismo de control de
cambios realizados sobre la
Implementar Deben cumplir con
informacin sensible de los Documento de proceso
controles de ISO27000,
83 solicitantes y los de gestin de la
validacin de ISO31000, Risk IT o
documentos digitales. integridad.
integridad de datos equivalente.
Se debe de validar que la
informacin es consistente e
ntegra, que los registros no
se pueden cambiar sin que
se generen alertas.
Se debern de implementar
medios para validar y
mantener la integridad de la
informacin.

84 Implementar Debe existir una poltica y Deben cumplir con Documento con polticas,
controles de procedimientos para llevar a ISO27000, procedimientos y
validacin de cabo la validacin de la ISO31000, Risk IT o reportes.
seguridad de la seguridad del aplicativo. equivalente.
aplicacin. Considerando las pruebas
de seguridad para al menos
los siguientes rubros:

A1: SQL Injection.

A2: Cross-site Scripting.

A3: Broken Authentication


and Session Management.

A4: Insecure Direct Object


Reference.

A5: Cross-site Request


Forgery.

A6: Security
Misconfiguration.

A7: Failure to Restrict URL


Access.

A8: Insufficient Transport


Layer Protection.

A9: Unvalidated Redirects


and Forwards.
A10: Ataque de negacin de
servicio (DDoS, por sus
siglas en ingls, Distributed
Denial of Service).

Debe existir una poltica y


procedimientos para llevar a
cabo la validacin de los
datos ingresados a la
aplicacin, con el fin de
identificar y realizar la
gestin adecuada. Se
deber considerar:

Uso de catlogos.

Validacin de entradas.

Codificacin de salidas.
Implementar
Validacin y administracin Documento con las
controles de
de contraseas. Deben cumplir con polticas y
validacin de
85 Administracin de sesin. ISO27000 e ITIL o procedimientos para
seguridad de datos
equivalente. llevar a cabo la validacin
para el flujo de la Prcticas de criptografa.
de los datos ingresados.
aplicacin. Administracin de errores y
accesos.

Proteccin de datos.

Seguridad de la
comunicacin.

Configuracin del sistema.

Seguridad en la base de
datos.

Administracin de archivos.

Mejores prcticas de
codificacin.

Se debern registrar y
reportar niveles de servicio
de la aplicacin. Se debe de
contar con un procedimiento
documentado de cmo se
capturan y reportan los
Debern mantenerse
Niveles de Servicio.
SLAs 86 y registrarse los Mensual. Reporte.
Se deber generar un
niveles de servicio
reporte con los Niveles de
Servicio de forma mensual.
El mnimo requerimiento de
nivel de servicio es del
99.99% de disponibilidad
mensual.

Debe de existir un
procedimiento para la
consulta en lnea de las
Implementar un
bitcoras del aplicativo, el
Consulta de la medio de consulta de Procedimiento de acceso
87 cual deber de tener Diario.
Secretara bitcora para la y reportes.
controles de seguridad as
Secretara.
como implementacin de
mejores prcticas de
seguridad.

Consulta de la 88 Prevencin de Se debe de implementar un Diario. Procedimiento, pantallas,


Prdida de la procedimiento que registre y bitcoras, reglas,
monitoree la actividad de
cada equipo que interviene o
tiene contacto con la
Informacin herramienta.
operacin del servicio, a fin
de evitar el uso indebido o
prdida de la informacin.

Secretara Se debe de implementar un


procedimiento que registre y
monitoree la actividad de
Prevencin de Procedimiento, pantallas,
cada equipo que interviene o
89 Prdida de la Diario. bitcoras, reglas,
tiene contacto con la
Informacin herramienta.
operacin del servicio, a fin
de evitar el uso indebido o
prdida de la informacin.

El representante legal de la
AC debe presentar un
documento donde afirme
que conoce y respetar el
apego a las leyes y dems
instrumentos jurdicos
aplicables vigentes.

Cumplimiento con El aspirante deber indicar


Conocimiento de
Leyes y que conoce su Documento firmado por
90 Leyes y Regulaciones
Regulaciones responsabilidad de verificar el representante legal.
Aplicables
Cumplimiento Aplicables el cumplimiento del marco

Legal y jurdico aplicable a la

Regulatorio materia.

El aspirante deber indicar


que exime a la Secretara de
cualquier responsabilidad
derivada del incumplimiento
de las leyes aplicables.

El representante legal de la Documento con la


Cumplimiento con
Declaracin de AC debe presentar su Declaracin de prcticas
Leyes y Cumplir con el RFC
90 prcticas de proyecto de Declaracin de de certificacin, mismo
Regulaciones 3647.
certificacin de la AC prcticas de certificacin de que deber estar
Aplicables
la misma. publicado en internet.