Matriz de Controles para la Revisin de Seguridad

Nota: La presente matriz estar vigente a partir del 1 de enero de 2014. Durante el ao 2014, la presente matriz no ser aplica
diciembre de 2014, ni a aquellas solicitudes de autorizacin presentadas hasta antes del 19 de diciembre de 2013 y resueltas c
2013.

rea de
Sub-rea de Control ID Control Control
Control

Postura de la Empresa sobre la Seguridad de la Informacin

1 Poltica de Seguridad de la Informacin

Poltica de Seguridad de la
Informacin

Revisin de Poltica de Seguridad de la

2 Informacin

3 Compromiso de la Direccin

4 Acuerdos de Confidencialidad

Organizacin Interna

5 Contacto con las Autoridades

6 Contacto con Grupos de Inters Especial

Revisin Independiente de la Seguridad de la

7 Informacin

8 Poltica de Clasificacin de la Informacin

Clasificacin de la
Informacin
 Clasificacin de la
Informacin

9 Etiquetado y Manejo de la Informacin

Seguridad en el Personal

10 Seleccin del Personal

Personal Interno 11 Responsabilidades del Personal Interno

Capacitacin del Personal en materia de

12 Seguridad de la Informacin

Identificacin de Riesgos inducidos por

13
Personal Externo terceros

14 Responsabilidades del Personal Externo

15 Uso de contraseas

16 Equipo desatendido
Responsabilidades de los
Usuarios

17 Escritorio limpio

18 Eliminacin de Derechos de Acceso

19 Devolucin de Activos

Terminacin del Empleo

 Terminacin del Empleo

20 Responsabilidades del personal dado de baja

Gestin de los Activos

21 Inventario de Activos

22 Propiedad de los activos

Gestin de los Activos

23 Uso aceptable de activos

Seguridad Fsica en Oficinas

24 Permetro de Seguridad Fsica

Seguridad Fsica

25 Controles de Entrada

Procesos de Gestin de la Seguridad

26 Anlisis de Riesgos

Gestin de Riesgos

27 Mitigacin de Riesgos
 28 Incidentes y Problemas

Manejo de Incidentes y
Problemas

29 Notificacin al SAT

30 Definicin de Eventos de Seguridad

Monitoreo de Seguridad

31 Bitcoras de Eventos

32 Monitoreo Activo de la Seguridad

33 Cumplimiento de polticas y procedimientos

Revisin del Cumplimiento

34 Remediacin de incumplimientos

35 Plan de Continuidad del Negocio (BCP)

BCP

36 Pruebas de BCP

37 Capacidad Tecnolgica

Gestin de la Capacidad
 Gestin de la Capacidad

38 Capacidad Operativa

Seguridad de la Plataforma Tecnolgica

39 Plan de Recuperacin de Desastres

DRP

40 Pruebas del DRP

41 Poltica de Control de Accesos

42 Altas, Bajas y Cambios de Accesos de Usuarios

Control de Accesos Lgicos

Locales y Remotos

43 Gestin de Privilegios

44 Gestin de Contraseas de Usuarios

45 Revisin de Permisos

46 Ubicacin del Centro de Datos

 47 Control de Accesos Fsicos

Seguridad Fsica

48 Vigilancia y Monitoreo

49 Sealizacin

50 Medidas contra Incendios

Controles Ambientales 51 Aire Acondicionado

52 Medidas contra Inundaciones

53 Instalacin Elctrica

Servicios de Soporte

54 Planes y Contratos de Mantenimiento

 55 Prevencin y Deteccin de Intrusos

Comunicaciones 56 Proteccin Perimetral

57 Segmentacin de Redes

58 Lneas Base de Seguridad

Lneas Base de Seguridad

(Endurecimiento y
Actualizacin)

59 Actualizaciones

60 Respaldos

Respaldos
61 Pruebas de Respaldos

62 Proteccin de Medios de Respaldo

63 Etiquetado

Gestin de Medios de
Almacenamiento

64 Destruccin o Borrado

65 Criptografa en servicios expuestos

Criptografa
 Criptografa
66 Proteccin de Llaves y Certificados

67 Pruebas de Seguridad
Pruebas de Seguridad

Seguimiento a hallazgos de pruebas de

68 Seguridad
Proteccin Contra Cdigo 69 Proteccin contra Cdigo Malicioso
Malicioso

70 Separacin de Ambientes

Separacin de Ambientes

71 Aislamiento de informacin de CFDI

72 Documentacin

73 Control de Accesos

74 Control de Cambios

Seguridad en Aplicativo
 Seguridad en Aplicativo

75 Bitcoras

76 Expiracin de sesin por inactividad

77 Lnea base de seguridad

Transaccionalidad 78 NTP

Encripcin de Datos 79 Encripcin de Datos de los Contribuyentes

Cumplimiento Legal y Regulatorio

Cumplimiento con Leyes y 80 Conocimiento de Leyes y Regulaciones Aplicables

Regulaciones Aplicables
Revisin de Seguridad para los Aspirantes a PAC - Revisin de Se
el ao 2014, la presente matriz no ser aplicable a los proveedores de certificacin de CFDI cuya autorizacin vigente en el ejercicio de 20
ntes del 19 de diciembre de 2013 y resueltas con posterioridad al 1 de enero de 2014, siendo que stos estarn a lo dispuesto en la matriz

Interpretacin del Control

La empresa debe contar con un documento de Poltica de Seguridad de la Informacin autorizado. Debe estar publicado y disponible para el
personal interno y terceros que colaboren con la empresa

El documento de Poltica de Seguridad de la Informacin debe ser revisado peridicamente, (por lo menos cada 6 meses.

La Direccin de la empresa debe apoyar activamente la seguridad de la informacin y demostrar su compromiso al respecto.

La empresa debe tener acuerdos de confidencialidad y/o acuerdos de no divulgacin firmados por la empresa para con el SAT y por el
personal interno y externo, y deben ser revisados de manera peridica (por lo menos cada 6 meses. Es importante que la responsabilidad
del personal que firma no 'caduque' ni siquiera cuando el personal deje de laborar para la empresa.

La empresa debe contar con procedimientos formales para mantener contacto y permitir investigaciones por parte de las autoridades
relevantes.
La empresa debe estar en contacto con grupos especializados en seguridad y/o asociaciones profesionales

La empresa debe realizar revisiones independientes de la Seguridad de la Informacin.

El trmino "independientes" se refiere a que deben ser realizados por personal distinto a los responsables del diseo o implementacin de
los controles, ya sea personal interno o externo.

La empresa debe contar con una poltica y procedimientos formales para la clasificacin de la informacin de acuerdo a su relevancia o
sensibilidad y en cumplimiento a las disposiciones del IFAI. Ver el rea de control "Cumplimiento Legal y Regulatorio".
La empresa debe contar con procedimientos formales para etiquetar y manejar la informacin tanto en formato electrnico como en
formatos fsicos de acuerdo a su clasificacin.

Se debe llevar a cabo la verificacin de antecedentes de todos los candidatos a puestos internos de la empresa.

Se deben formalizar las responsabilidades del personal externo con respecto a la seguridad de la informacin.

El personal interno debe recibir una capacitacin en materia de Seguridad de la Informacin al inicio de sus labores en la empresa y de
manera peridica ( por lo menos cada 12 meses.

Se deben identificar los riesgos inducidos por terceros a la informacin y los medios de procesamiento de informacin de la empresa.

Se deben formalizar las responsabilidades del personal externo con respecto a la seguridad de la informacin.

La empresa debe contar con una poltica de uso de contraseas, donde se especifique la responsabilidad de los usuarios en el uso de las
mismas, caducidad, proteccin de las mismas, etc.

La empresa debe contar con una poltica de equipo desatendido, donde se especifique los requerimientos de seguridad para el equipo
cuando el usuario no est presente.

La empresa debe contar con una poltica de Escritorio limpio, donde se especifiquen los requerimientos de seguridad para los puestos de
trabajo.

La empresa debe contar con una poltica y procedimientos para llevar a cabo la eliminacin de accesos lgicos y fsicos en el personal
interno o externo que ya no labore en la empresa.
La empresa debe contar con procedimientos para la devolucin de los activos que el personal tuvo asignado mientras laboraba para la
empresa.
Se deben revisar los contratos, clusulas y acuerdos de confidencialidad para garantizar que el personal dado de baja conserva sus
obligaciones con respecto a la confidencialidad de la informacin a la que tuvo acceso durante su estancia en la empresa.

Todos los activos deben estar claramente identificados. Se debe elaborar y mantener un inventario actualizado de todos los activos de la
empresa.

Toda la informacin y los activos asociados con los medios de procesamiento de la informacin deben ser propiedad (responsabilidad) de
una parte designada de la empresa.

La empresa debe contar con una poltica y procedimientos para identificar, documentar e implementar las reglas para el uso aceptable de la
informacin y los activos asociados.

Se deben utilizar permetros de seguridad (barreras tales como paredes y puertas de ingreso controlado, policas o recepcionistas) para
proteger reas operativas y de oficina que contienen informacin de la empresa.

Se deben proteger las reas seguras mediante controles de entrada apropiados para asegurar que slo se permita acceso al personal
autorizado.

Se deber contar con un anlisis de Riesgos sobre el proceso de CFDI, que debe abarcar como mnimo:

- Identificacin de los Activos involucrados

- Identificacin de Amenazas
- Identificacin de Vulnerabilidades
- Estimacin de los Riesgos
- Clasificacin de Riesgos
- Priorizacin de los Riesgos a mitigar
- Reporte de riesgos encontrados

Se deber realizar un plan de mitigacin de los riesgos encontrados como prioritarios en el anlisis de Riesgos.
La empresa debe contar con una poltica y procedimientos para la Gestin de Incidentes de Seguridad en el proceso de CFDI, que maneje
como mnimo:

- Identificacin de Incidentes y Problemas

- Registro de Incidentes y Problemas
- Notificacin y Escalacin de Incidentes y Problemas
- Seguimiento de Incidentes y Problemas

La empresa debe contar con procedimientos de notificacin al SAT en caso de Incidentes o problemas que puedan comprometer la
informacin de los Contribuyentes o informacin de implementacin de la comunicacin con el SAT.

La empresa debe definir aquellos eventos de seguridad que van a monitorear, de acuerdo a su anlisis de riesgos, sin embargo, se deben
considerar como mnimo:
- Uso de cuentas privilegiadas.
- Acceso a informacin con clasificacin alta de confidencialidad.

La empresa debe implementar la creacin y resguardo de bitcoras donde se almacenen los eventos de seguridad relevantes. Las bitcoras
deben ser resguardadas en un lugar seguro por lo menos durante 6 meses. Las bitcoras de eventos deben tener acceso controlado slo a
personal autorizado y se debe guardar un registro de la consulta de las mismas.

La empresa debe contar con procedimientos de monitoreo de los eventos de seguridad de los activos involucrados en el proceso de CFDI, a
fin de identificar los eventos de seguridad relevantes que ocurran en ellos

La empresa deber realizar revisiones peridicas (por lo menos cada 6 meses) para verificar que la operacin de la empresa cumple con lo
estipulado en las polticas y procedimientos requeridos en este documento. El personal que realice las auditoras debe ser independienta los
controles

La empresa debe realizar un plan de remediacin de los incumplimientos detectados en la revisin del cumplimiento.

La empresa debe contar con un BCP documentado y aprobado.

El BCP debe incluir el proceso de CFDI, incluyendo como mnimo:

Identificacin de los activos que le dan soporte al proceso.

Requerimientos de procesamiento, personal, informacin y todo lo necesario para garantizar la continuidad del servicio de CFDI.

La empresa debe contar con un plan de ejecucin de pruebas del BCP por lo menos cada 12 meses.

Se debe planear, monitorear, y ajustar el uso de recursos tecnolgicos (software, equipos, comunicaciones, etc) para asegurar el desempeo
requerido por los sistemas que dan soporte al proceso de CFDI por lo menos durante 12 meses.
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.
Se debe planear, monitorear, y ajustar el uso de recursos operativos (personal, herramientas, espacios) para asegurar el desempeo
requerido por los sistemas que dan soporte al proceso de CFDI por lo menos durante 12 meses.
Se debe dar cumplimiento a las medidas necesarias identificadas durante la planeacin y monitoreo.

La empresa debe contar con un plan de recuperacin de desastres para su centro de datos que incluya por lo menos los activos necesarios
para el funcionamiento del proceso de CFDI.

La empresa debe contar con un plan de pruebas del DRP.

La empresa debe tener una poltica y procedimientos formales de Control de Accesos que aplique por lo menos a todos los activos que dan
soporte al proceso de CFDI, misma que debe ser revisada y actualizada por lo menos cada 6 meses.

La empresa debe documentar procedimientos formales para las Altas, Bajas y Cambios de accesos de usuarios, que incluyan como mnimo:
- Bloqueo de las cuentas por intentos fallidos de autenticacin.
- Bloqueo de cuentas por periodo de inactividad.

Los accesos remotos slo se debern proporcionar bajo circunstancias de excepcin y con un estricto proceso de autorizaciones y
monitoreo.

La empresa debe contar con procedimientos formales para restringir y controlar la asignacin y uso de los privilegios.

La empresa debe contar con procedimientos formales de asignacin de contraseas, los procedimientos deben contar por lo menos con las
siguientes reglas:

- Reglas para la creacin de contraseas (longitud mnima, histrico, caracteres permitidos, etc.).
- Las contraseas se deben encriptar en todos los activos que dan soporte al proceso de CFDI.

La empresa debe realizar peridicamente (por lo menos cada 6 meses) una revisin de los usuarios existentes en los sistemas de
informacin y activos, para verificar que sus permisos sigan siendo vigentes de acuerdo al procedimiento de altas o cambios de Accesos de
Usuarios.

El centro de datos debe estar asentado en lugares libres de altos riesgos, por lo menos a 100 m de lugares como gasolineras, gaseras, minas,
acometidas de cableado de electricidad y gas, etc. y como una instalacin no evidente
El centro de datos debe estar protegido por un permetro de acceso fsico controlado, controles de acceso automatizados y procedimientos
formales de control de accesos.

El personal que acceda al centro de datos no deber introducir medios de almacenamiento extrables sin autorizacin.

Las bitcoras de acceso debern resguardarse en un lugar seguro.

El centro de datos debe contar personal de vigilancia las 24 hrs y un sistema de monitoreo de las instalaciones (CCTV, etc).
El sistema de monitoreo debe almacenar los videos de vigilancia con historial de por lo menos 30 das y almacenarlos en un lugar seguro,
fuera de las instalaciones principales.

El personal debe estar debidamente capacitado y contar con las herramientas necesarias para responder en caso de emergencias.

Las instalaciones deben contar con sealizacin que indique claramente:

- reas de acceso restringido.

- Rutas de evacuacin.
- Ubicacin del equipo de emergencia.

El centro de datos debe contar con medidas de proteccin contra incendios

El centro de datos debe contar con un sistema de aire acondicionado

El centro de datos debe contar con medidas de proteccin contra inundaciones

El centro de datos debe contar con medidas de seguridad en el cableado y medidas de respaldo de energa de emergencia.
La infraestructura elctrica debe revisarse por lo menos cada 6 meses para garantizar su buen funcionamiento

El centro de datos debe contar con planes de mantenimiento y contratos vigentes con proveedores de los medios y dispositivos de controles
ambientales y servicios de soporte
Las redes dentro del centro de datos deben contar con dispositivos de prevencin o deteccin de Intrusos.

La red debe estar protegida con dispositivos de seguridad que apliquen listas de control de acceso.

Las redes deben estar segmentadas para proteger el flujo de informacin en redes con distintos tipos de usuarios.

Los activos (aplicativos, servidores, bases de datos, dispositivos de red, etc.) del centro de datos que dan soporte al proceso de CFDI deben
tener contar con lneas base de seguridad documentadas e implementadas, que consideren como mnimo:
- Proteccin del BIOS en arranque de los sistemas.
- Deshabilitacin de unidades de almacenamiento removibles.
- Instalacin del S.O. en particin exclusiva.
- Inhabilitacin de puertos, protocolos usuarios y servicios innecesarios.
- Recomendaciones de seguridad del fabricante del equipo y sistema operativo.

Los activos que dan soporte al proceso de CFDI deben contar con los ltimos parches de seguridad y actualizaciones emitidas por el
fabricante de los servidores y sistemas operativos que hayan pasado por un procedimiento de pruebas previas a la implementacin

Se deben generar respaldos de los activos y la informacin que dan soporte al proceso de CFDI, con la periodicidad definida por la empresa.

Se debe contar con un plan de pruebas de los respaldos para verificar que son funcionales
Los medios donde se almacenan los respaldos debern estar protegidos en un rea especfica para este efecto, de preferencia en un sitio
alterno, en medios encriptados y con medidas de proteccin contra el acceso no autorizado.

Los medios donde se almacene informacin de los contribuyentes y del SAT deber estar inventariada y etiquetada con el nivel ms alto de
confidencialidad definido en el proceso de clasificacin de informacin, y se deber dar el tratamiento de acuerdo a la clasificacin.

Los medios donde se almacenen respaldos o informacin de los contribuyentes o del SAT debern estar sujetos a un procedimiento formal
de destruccin o borrado seguro que debe contener como mnimo:
- Solicitud y Autorizacin explcitas de la destruccin o borrado.
- Actas de destruccin o borrado firmadas por el personal que lo realiza.

Los servicios del aplicativo que se encuentren expuestos para el consumo por parte de los clientes, debern contar con mecanismos de
criptografa.
Las llaves y Certificados usados para el cifrado deben estar protegidos por un dispositivo recubierto con algn material opaco y contar con
salvaguardas que impidan que sea abierto o que invaliden la informacin en caso de que sea forzado, adems de contar por lo menos con
las siguientes medidas:
- Control de Accesos Fsicos y Lgicos (Slo personal autorizado).
- Registro de Hashes de Control.
- Segregacin de roles con acceso a los dispositivos de almacenamiento de llaves y certificados.
- Instalacin nica de la llave provista por el SAT (respaldada por un acta firmada por los responsables de su instalacin y custodia).

Se deben realizar, documentar y dar seguimiento a pruebas de seguridad en los activos que dan soporte al proceso de CFDI al igual que al
propio aplicativo de CFDI.

Se debe realizar un plan para atender los hallazgos detectados durante las pruebas de seguridad.

Todos los activos tecnolgicos que dan soporte al proceso de CFDI debern contar con una solucin de proteccin contra cdigo malicioso
instalada y actualizada.

Los ambientes de desarrollo, pruebas y produccin deben estar separados fsica o lgicamente unos de otros y todos deben tener su propia
administracin de accesos.

La informacin del proceso de CFDI debe estar separada fsica o lgicamente de la informacin de otros procesos o aplicativos
proporcionados por la empresa.

El aplicativo de CFDI debe contar con documentacin tcnica completa, as como la documentacin del proceso de CFDI.

La documentacin tcnica debe incluir como mnimo:

- Flujo de Datos
- Modelo y Diccionario de Datos
- Diagrama de implementacin

El aplicativo debe contar con control automatizado de accesos, de acuerdo a las polticas y procedimientos de control de accesos definidos
por la empresa.

El aplicativo debe contar con un proceso formal de control de cambios, que debe incluir como mnimo:
- Estimacin de impacto de cambios
- Pruebas
- Autorizacin
- Liberacin de cambios
- Reversos de cambios
El aplicativo debe contar con bitcoras de acceso y uso, que deben contener como mnimo:
- Fecha y hora.
- Usuario.
- IP origen.
- Registro de intentos de acceso fallidos.
- Registro de accesos exitosos.
- Registro de actividad de los usuarios.
- Registro de cierre de sesin ya sea por inactividad o por parte del usuario.
- Registro de consulta de las propias bitcoras.
- Registro de errores y/o excepciones.

El aplicativo debe contar con sesiones que expiren despus de 10 minutos de inactividad.

El aplicativo debe tener aplicada una lnea base de seguridad que debe incluir como mnimo:
- Implementacin de autenticacin de los usuarios (internos o clientes).
- Implementacin de mecanismo de no repudio de transacciones.
- Proteccin contra inyeccin de cdigo
- Inicio de sesin seguro
- Validacin de datos de entrada / salida para evitar errores en el procesamiento de la informacin.
- Manejo de errores.

Las transacciones de timbrado del proceso de CFDI deben estar sincronizadas usando un servidor de NTP sincronizado con GPS.

Debe existir una poltica y procedimientos formales que aseguren que la informacin de facturacin y los datos personales de los
Contribuyentes deben estar encriptados tanto en su almacenamiento, trnsito y medios que los contengan.

El representante legal del Aspirante a PAC debe presentar un documento donde afirme que conoce y respetar el apego a las leyes
aplicables vigentes.

El aspirante deber indicar que conoce su responsabilidad de verificar el cumplimiento con dichas leyes.

El aspirante deber indicar que exime al SAT de cualquier responsabilidad derivada del incumplimiento de las leyes aplicables.
Revisin de Seguridad
n vigente en el ejercicio de 2013 fue prorrogada hasta el 31 de
arn a lo dispuesto en la matriz de controles vigente en el ejercicio

Periodicidad / Parmetro Requerido

6 meses

6 meses
12 meses
6 meses

6 meses

12 meses

12 meses
12 meses

6 meses

6 meses

100 m
30 das

6 meses
definida por la empresa
10 minutos
 Matriz de Controles para la Revisin de Segurid

ID Control Descripcin
A Declaracin de namespaces Declaracin de namespaces

Declaracin de Addenda y
B Declaracin de Addenda y sus namespaces namespaces

C Validacin de Datos requeridos Validacin de Datos requeridos

Utilizacin de caracteres especiales y Utilizacin de caracteres especiales

D secuencias de escape y secuencias de escape

Caracteres en blanco, tabuladores o retornos Caracteres en blanco, tabuladores o

E de carro retornos de carro

Verificacin del correcto sellado

Sellado conforme a la cadena original para el conforme a la cadena original para
F CFDI y para el Timbre Fiscal Digital el CFDI y para el Timbre Fiscal
Digital

Verificacin de la validacin de cada

Verificacin de la validacin de cada
G comprobante para la emisin de un
comprobante timbre

Cumplimiento del cliente gratuito

con los estndares CFDI emitidos
H Cliente Gratuito por el SAT. (Anexo 20 y Matriz de
Controles)

Validacin de la creacin de un
I Validacin de flujos CFDI desde el contribuyente hasta
su almacenamiento en el SAT
 Verificacin de la aplicacin por
J Conexin Remota medio de una conexin remota

Entrega de Manuales de Usuario

K Manuales de Usuario para una Mejor Administracin

Documentos de Control en los

cuales se establezca y especifique,
L Confidencialidad y Niveles de Servicio los acuerdos de Servicio y
Confidencialidad
la Revisin de Seguridad para los Aspirantes a PAC - Validacin T

Criterio de revisin Id. Sec

Verificar la correcta definicin de namespaces, haciendo la referencia a la ruta publicada por el A.1
SAT en donde se encuentra el esquema de XSD. (Referencia Anexo 20)

Si se requiere utilizar esta funcionalidad, se deber definir el nuevo namespace dentro del nodo B.1
Comprobante y publicar la ruta del esquema XSD para la validacin

Validacin de los campos obligatorios del CFDI que cumplan con el esquema de datos C.1

Utilizacin de caracteres especiales y secuencias de escape Generar un CFDI que contenga D.1
caracteres especiales y secuencias de escape

Generar un CFDI con 2 o ms caracteres en blanco, tabuladores y retornos de carro E.1

Validacin criptogrfica de los sellos F.1

Cumplir con todas las validaciones necesarias para la emisin de un timbre G.1

Cumplimiento con requisitos tcnicos y funcionales, que el cliente sea fcil de usar y cuente con H.1
una interface amigable. Revisin documental de manuales

Cumplimiento del paso por cada componente que integre el servicio de punta a punta. Otorgar al I.1
SAT usuarios para realizar pruebas
La conexin Remota debe permitir el acceso desde la Red del SAT J.1

K.1

Los manuales deben integrar instrucciones claras para usuario, de atencin a usuario y de K.2
atencin a usuario del SAT

K.3

L.1
Se debern mostrar los documentos de Acuerdos de Niveles de Servicio (SLA) y de Convenio de
Confidencialidad, entre el Proveedor Autorizado y el Contribuyente

L.2
C - Validacin Tecnolgica

Revisin
Revisin de la correcta declaracin de los namespaces del CFDI conforme al
Anexo 20 en cada uno de los rubros aplicables

Revisin y validacin de la integracin del Timbre Fiscal Digital y la addenda

cuando esta aplique, con sus namespaces conforme al Anexo 20
Validacin sintctica correcta del esquema de datos establecido.
Se deber representar correctamente dichos caracteres codificados en UTF-
8 en la factura y en la generacin de la cadena original, as como en la
representacin impresa del CFDI.

Se debern remplazar todos los tabuladores, retornos de carro y saltos de

lnea por un espacios en blanco (toda secuencia de caracteres en blanco
intermedias se sustituyen por un nico carcter en blanco) Anexo 20.

El correcto sellado conforme a la cadena original (En este proceso se

realizan las dos validaciones criptogrficas, aplicables al CFDI y al Timbre
del PAC)

1. Que cumpla la estructura XML (XSD y complementos aplicables)2. Que

cumpla con el estndar de XML (Conforme al W3C)3. Que el CSD del
Emisor corresponda al RFC que viene como Emisor en el Comprobante 4.
Que el CSD del Emisor haya sido firmado por uno de los Certificados de
Autoridad de SAT5. que la llave utilizada para sellar corresponda a un CSD
(no de FIEL)6. que el CSD del Emisor no haya sido revocado, utilizando la
lista de CSD7. que el sello del Emisor sea vlido8. Que la fecha de emisin
est dentro de la vigencia del CSD del Emisor9. Que exista el RFC del
emisor conforme al rgimen autorizado (Lista de validacin de rgimen)10.
que el rango de la fecha de generacin no sea mayor a 72 horas para la
emisin del timbre11. que la fecha de emisin sea posterior al 01 de Enero
2011 12. que no contenga un timbre previo13. que el PAC no haya
timbrado previamente dicho ComprobanteLa previa validacin de la
vigencia de los certificados usados en el sellado del CFDI

Validar que el cliente gratuito cumple con los requisitos tcnicos emitidos
por el SAT: Verificar que el cliente gratuito tenga las funcionalidades de
autenticacin de usuarios, administracin de comprobantes emitidos,
creacin de representacin impresa. Verificar que el cliente gratuito es
multiplataforma y tecnolgicamente neutral. Revisin de manuales de
usuario, de atencin a usuarios y manual de pruebas para el SAT

Verificar que el servicio ofrecido desde el cliente gratuito y que al prestar la

certificacin (timbrado) a terceros, se cumpla con la entrega del CFDI al SAT
y el envo del Timbre Fiscal Digital al cliente que lo genere
Realizar una conexin remota exitosa al aplicativo del Proveedor y realizar
pruebas conforme a los manuales de usuario y usuario para el SAT
entregados . (generacin de CFDI, administracin de CFDI, impresin, etc.)
El manual de usuario debe contener un ndice y los puntos que describan
los pasos a manera de gua para hacer uso del servicio y sus
funcionalidades
El manual de atencin a usuario debe contener un ndice y los puntos
donde se informe al usuario las formas de contacto y resolucin de
problemas con el servicio y sus funcionalidades

El manual de usuario SAT debe contener un ndice y los puntos que

describan los pasos para que el SAT realice las pruebas remotas o en sitio

Mostrar el Documento de Acuerdo de Niveles de Servicio (SLA). En

particular para la Aplicacin Gratuita se debe cumplir con lo publicado en
la pgina de internet respecto a la funcionalidad y servicios respectivos
Mostrar el Documento de Convenio de Confidencialidad, mediante el cual
el Proveedor Autorizado se compromete a hacer buen uso de la
informacin del Contribuyente.