alerta Si el documento se presenta incompleto en el margen derecho, es que contiene tablas que rebasan el ancho predeterminado. Si es el caso, haga click aquí para visualizarlo correctamente.
 
DOF: 21/10/2016
DISPOSICIONES Generales de la Ley de Firma Electrónica Avanzada

DISPOSICIONES Generales de la Ley de Firma Electrónica Avanzada.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Economía.- Secretaría de la Función Pública.- Servicio de Administración Tributaria.

ILDEFONSO GUAJARDO VILLARREAL, Secretario de Economía; JAVIER VARGAS ZEMPOALTECATL, Subsecretario de Responsabilidades Administrativas y Contrataciones Públicas de la Secretaría de la Función Pública en ausencia del Secretario de la Función Pública y OSVALDO ANTONIO SANTÍN QUIROZ, Jefe del Servicio de Administración Tributaria, con fundamento en lo dispuesto por los artículos 17, 31 fracción XXXIV, 34 fracción XXXIII y 37 fracciones XXII y XXIX de la Ley Orgánica de la Administración Pública Federal; 5 segundo párrafo; 2 fracción I del Reglamento de la Ley de Firma Electrónica Avanzada; 1, 7 fracción XVIII y 14 fracción I de la Ley del Servicio de Administración Tributaria, en relación con el Artículo Tercero Transitorio del Decreto por el que se reforman, adicionan y derogan diversas disposiciones contenidas en la Ley del Servicio de Administración Tributaria publicado en el Diario Oficial de la Federación el 12 de junio del 2003; 5 fracción XVI del Reglamento Interior de la Secretaría de Economía; 6 fracción I, 7 fracción XII y 86 del Reglamento Interior de la Secretaría de la Función Pública, y 8 fracción XXI del Reglamento Interior del Servicio de Administración Tributaria, y
CONSIDERANDO
Que con fecha 11 de enero de 2012 se publicó en el Diario Oficial de la Federación la Ley de Firma Electrónica Avanzada, la cual contempla en su artículo 5, segundo párrafo, que la Secretaría de la Función Pública, la Secretaría de Economía y el Servicio de Administración Tributaria dictarán, de manera conjunta, las disposiciones generales para el adecuado cumplimiento de la Ley mencionada;
Que con fecha 21 de marzo de 2014 se publicó en el Diario Oficial de la Federación el Reglamento de la Ley de Firma Electrónica Avanzada, el cual refiere en su artículo 2, fracción I, a las Disposiciones Generales como aquellas que se emitan en términos del artículo 5 de la Ley de Firma Electrónica Avanzada;
Que resulta necesario determinar los requisitos, características, estándares y mecanismos tecnológicos que están obligados a cumplir los interesados en obtener el carácter de Autoridades Certificadoras para la emisión de los certificados digitales previstos en el artículo 24 de la Ley de Firma Electrónica Avanzada y la prestación de servicios relacionados; la estructura de los certificados digitales que emitan las Autoridades Certificadoras; los requerimientos técnicos que como mínimo deberán contener los sistemas informáticos de las dependencias y entidades de la Administración Pública Federal para estar en posibilidad de llevar a cabo el firmado de documentos electrónicos y, en su caso, mensajes de datos, así como la forma y términos en que las Autoridades Certificadoras proporcionarán a las dependencias y entidades los servicios relacionados con la firma electrónica avanzada, por lo que hemos tenido a bien emitir las siguientes
DISPOSICIONES GENERALES DE LA LEY DE FIRMA ELECTRÓNICA AVANZADA
Objeto
PRIMERA.- Las presentes Disposiciones Generales tienen por objeto establecer:
I.        Los requisitos, características, estándares y mecanismos tecnológicos que deberán cumplir las dependencias y entidades de la Administración Pública Federal, así como los prestadores de servicios de certificación que estén interesados en obtener el carácter de Autoridad Certificadora para la emisión de los certificados digitales previstos en la Ley de Firma Electrónica Avanzada y su Reglamento, así como la autorización para la prestación de servicios relacionados con la firma electrónica avanzada;
II.       La estructura que deberán cumplir los certificados digitales que emitan las Autoridades Certificadoras, previstos en el Título Tercero, Capítulo I de la Ley de Firma Electrónica Avanzada;
III.      Los requerimientos técnicos mínimos para que los sistemas informáticos, así como las herramientas tecnológicas o aplicaciones de las dependencias y entidades de la Administración Pública Federal puedan llevar a cabo el firmado de documentos electrónicos y, en su caso, mensajes de datos en la realización de los actos y actuaciones a que se refiere la Ley y su Reglamento;
IV.      La manera en que se llevará a cabo la conservación de los mensajes de datos y de los documentos electrónicos con firma electrónica avanzada;
V.       Las medidas y controles de seguridad que deberán adoptar las Autoridades Certificadoras para
evitar la falsificación, alteración o uso indebido de Certificados Digitales;
VI.      El destino de los registros y archivos generados por las Autoridades Certificadoras que hayan sido suspendidas o revocadas de tal carácter;
VII.     La forma y términos en que las Autoridades Certificadoras proporcionarán a las dependencias y entidades de la Administración Pública Federal, el servicio de consulta sobre el estado de validez, de los certificados digitales que emitan, y
VIII.    Cualquier otro servicio relacionado con la Firma Electrónica Avanzada.
Definiciones y acrónimos
SEGUNDA.- En adición a las definiciones previstas en la Ley de Firma Electrónica Avanzada y en su Reglamento, para efectos de las presentes Disposiciones Generales, se entenderá por:
I.        AC: Autoridad Certificadora;
II.       Claves criptográficas: la clave pública y la clave privada;
III.      HTTP: Protocolo utilizado para el intercambio de información en Internet (Hyper Text Transfer Protocol, HTTP por sus siglas en inglés);
IV.      HTTPS: Protocolo seguro para el intercambio de información en Internet (Hyper Text Transfer Protocol Secure, HTTPS por sus siglas en inglés);
V.       MAAGTICSI: Manual Administrativo de Aplicación General en las materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información, emitido por la Secretaría y la Secretaría de Gobernación como anexo único del Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias;
VI.      OCSP: Protocolo utilizado para obtener en tiempo real el estado actual de un certificado digital (OCSP, Online Certificate Status Protocol, por sus siglas en inglés);
VII.     OID: es el número que se asigna para identificar un objeto sin ambigedad, el cual se conforma de acuerdo al estándar del Instituto Nacional Estadounidense de Estándares (ANSI American National Standards Institute) (OID, Object Identifier, por sus siglas en inglés);
VIII.    SAT: el Servicio de Administración Tributaria, y
IX.      SE: la Secretaría de Economía.
Disposiciones
TERCERA.- La estructura de los certificados digitales que emitan las AC debe considerar los estándares internacionales ISO/IEC 9594-8:2014 "The Directory: Public-key and attribute certificate frameworks" y RFC 5280 "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile" actualizado con el RFC 6818 y contendrá, cuando menos, los campos que a continuación se indican:
I.        Número de Serie: incorporará un número entero positivo;
II.       AC que lo emitió: identificará a la AC con un nombre distintivo (DN Distinguished Name) de tipo "Name" del estándar X.509 con los atributos siguientes:
ATRIBUTOS
TIPO
LONGITUD
DESCRIPCIÓN
commonName (CN)
PrintableString o
UTF8String
64
Nombre de la AC
organizationName (O)
PrintableString o
UTF8String
64
Nombre de la organización o razón social
organizationalUnitName (OU)
PrintableString o
UTF8String
64
Nombre de la unidad dentro de la organización
EmailAddress (E)
IA5String
128
Correo electrónico de la organización
StreetAddress
PrintableString o
UTF8String
128
Calle, número y colonia de la organización
PostalCode
PrintableString o
UTF8String
40
Código postal de la organización
CountryName (C)
PrintableString
2
País
State (S)
PrintableString o
UTF8String
128
Entidad federativa
LocalityName (L)
PrintableString o
UTF8String
128
Municipio o delegación
III.      Algoritmo de firma: contendrá el identificador del algoritmo criptográfico utilizado por la AC para firmar el certificado digital.
         El algoritmo utilizado para firmar el certificado digital deberá ser SHA256 con RSA o el estándar que en su momento la Secretaría, la SE y el SAT determinen y publiquen a través de sus portales institucionales, mismo que se deberá usar tanto para la firma de la AC como para la del particular, a fin de proveer un nivel adecuado de seguridad;
IV.      Vigencia: contendrá la fecha de inicio y la de término del periodo de validez del certificado digital.
         Las AC deben utilizar el formato UTCTime (YYMMDDHHMMSSZ);
V.       Nombre del titular del certificado digital: identificará al titular del certificado digital con un nombre distintivo (DN Distinguished Name) de tipo "Name" del estándar X.509, con los siguientes atributos y valores:
ATRIBUTOS
TIPO
LONGITUD
DESCRIPCIÓN
commonName (CN)
UTF8String
64
Nombre del titular del certificado digital
serialNumber (SN)
PrintableString
64
CURP del titular del certificado digital
CountryName (C)
PrintableString
2
País
X500uniqueIdentifier (2.5.4.45)
BIT STRING
 
Opcional
Registro Federal de Contribuyentes del titular del certificado digital
EmailAddress (E)
IA5String
128
Correo electrónico del titular del certificado digital
 
VI.      Clave pública: contendrá la clave pública y el identificador de algoritmo (contenido en el campo algoritmo de firma), deberá tener un tamaño mínimo de 2048 bits para certificados digitales emitidos a particulares, y por lo menos de 4096 bits para certificados digitales de las AC, y
VII.     Requisitos adicionales:
a)    Versión: deberá contener la "Versión 3 del estándar X.509" y
b)    Extensiones: contendrá la siguiente información:
ATRIBUTOS
TIPO
DESCRIPCIÓN
authorityKeyIdentifier
No crítica
Permite identificar la clave pública correspondiente a la clave privada que la AC utilizó para firmar el certificado digital.
Usar sólo el campo KeyIdentifier, el cual debe contener los 256 bits del SHA-2 del valor subjectPublicKey del certificado digital de la AC.
subjectKeyIdentifier
No crítica
Asigna un identificador de la clave pública del titular del certificado digital.
Debe contener los 256 bits del SHA-2 del valor subjectPublicKey.
keyUsage
Crítica
Usos del certificado digital
 
 
Bit
AC
Titular
 
 
DigitalSignature
nonrepudiation
keyEncipherment
dataEncipherment
keyAgreement
keyCertSign
cRLSign
encipherOnly
decipherOnly
S
S
N
S
S
S
S
N
N
S
S
N
S
S
N
N
N
N
basicConstraints
Crítica
Identifica si el titular del certificado digital es una AC.
extendedKeyUsage
No crítica
Indica uno o más propósitos de uso.
cRLDistributionPoint
No crítica
Indica cómo puede ser obtenida la Lista de Certificados Revocados.
authorityInfoAccess
No crítica
Indica cómo acceder a la información de la AC y sus servicios, aquí debe indicarse como mínimo la dirección electrónica de consulta de la AC.
certificatePolicies
Crítica
OID asignado por la Secretaría, quien deberá llevar un registro de los mismos.
 
CUARTA.- Los requisitos para adquirir el carácter de AC serán:
1.       Modelo Operacional de la AC;
1.1.    El solicitante de acreditación deberá definir su Modelo Operacional de la AC conforme al cual operará y prestará sus servicios al fungir como AC a efecto de lograr confiabilidad e interoperabilidad, para lo cual desarrollará los apartados siguientes:
1.1.1.    Cuáles son los servicios prestados;
1.1.2.    Cómo se interrelacionan los diferentes servicios;
1.1.3.    En qué lugares se operará;
1.1.4.    Qué tipos de certificados se entregarán;
1.1.5.    Cuáles son los certificados generados con diferentes niveles de seguridad;
1.1.6.    Cuáles son las políticas y procedimientos de cada tipo de certificado, y
1.1.7.    Cómo se protegerán los activos.
1.2.    El Modelo Operacional de la AC deberá contener un resumen que incluya:
1.2.1.    Contenido del documento, y
1.2.2.    Relaciones comerciales con proveedores de insumos o servicios para sus operaciones.
1.3.    El Modelo Operacional de la AC deberá comprender los siguientes aspectos:
1.3.1.    Interfaces con las Autoridades Registradoras;
1.3.2.    Implementación de elementos de seguridad;
1.3.3.    Procesos de administración;
1.3.4.    Sistema de directorios para los certificados;
1.3.5.    Procesos de auditoría y respaldo, y
1.3.6.    Bases de Datos a utilizar.
1.4.    El Modelo Operacional de la AC deberá considerar la Política de Certificados, la Declaración de Prácticas de Certificación, la Política de Seguridad de la Información y el Plan de Seguridad de Sistemas por lo que se refiere a la generación de claves.
1.5.    El Modelo Operacional de la AC deberá incluir los requerimientos de seguridad física del personal, de las instalaciones y del módulo criptográfico.
2.       Modelo Operacional de la Autoridad Registradora.
2.1     El solicitante de acreditación deberá definir su Modelo Operacional de Autoridad Registradora conforme al cual operará y prestará sus servicios como autoridad registradora a efecto de lograr confiabilidad e interoperabilidad, para lo cual desarrollará los apartados siguientes:
2.1.1     Cuáles son los servicios de registro que se prestarán;
2.1.2     En qué lugares se ofrecerán dichos servicios, y
2.1.3     Qué tipos de certificados generados por la AC se entregarán.
2.2     El solicitante de acreditación deberá ofrecer los mecanismos para que el propio usuario
genere en forma privada y segura sus Datos de Creación de Firma Electrónica. Deberá indicar al usuario el grado de fiabilidad de los mecanismos y dispositivos utilizados.
2.3     El Modelo Operacional de la Autoridad Registradora deberá comprender los siguientes aspectos:
2.3.1     Interfaces con AC;
2.3.2     Implementación de dispositivos de seguridad;
2.3.3     Procesos de administración;
2.3.4     Procesos de auditoría y respaldo;
2.3.5     Bases de Datos a utilizar;
2.3.6     Privacidad de datos, y
2.3.7     Descripción de la seguridad física de las instalaciones.
2.4     El Modelo Operacional de la Autoridad Registradora deberá establecer el método para proveer de una identificación unívoca del usuario y el procedimiento de uso de los Datos de Creación de la Firma Electrónica Avanzada.
3.       Plan de Administración de Claves.
3.1     El solicitante de acreditación deberá definir su Plan de Administración de Claves conforme al cual generará, protegerá y administrará sus claves criptográficas, respecto de los apartados siguientes:
3.1.1     Claves de la AC;
3.1.2     Almacenamiento, respaldo, recuperación y uso de los Datos de Creación de Firma Electrónica de la AC del Prestador de Servicios de Certificación;
3.1.3     Distribución del certificado de la AC;
3.1.4     Administración del ciclo de vida del hardware criptográfico que utilice la AC, y
3.1.5     Dispositivos seguros para los usuarios.
3.2     Los procedimientos implantados de acuerdo al Plan de Administración de Claves, deberán garantizar la seguridad de las claves en todo momento, aun en caso de cambios de personal, componentes tecnológicos, y demás que señalan las presentes Reglas Generales.
3.3     El Plan de Administración de Claves deberá establecer como requerimiento mínimo el utilizar aquellas con longitud de 2048 bits para los usuarios y de 4096 bits para los Prestadores de Servicios de Certificación.
3.4     El solicitante de acreditación, su autoridad certificadora y registradoras, utilizarán dispositivos seguros para almacenar sus Datos de Creación de Firma Electrónica, compatibles como mínimo con el estándar FIPS-140 nivel 3 en sus elementos de seguridad e implantación de los algoritmos, criptográficos estándares, o el que le sustituya.
3.5     El Plan de Administración de Claves tendrá que ser compatible por lo menos con el estándar ETSI TS 102 042 sección 7.2 -Generación de la clave de la AC, Almacenamiento, Respaldo y Recuperación de la clave de la AC, Distribución de la clave pública de la AC, uso de clave de la AC, fin del ciclo de vida de la clave de la AC y Administración del ciclo de vida del Hardware criptográfico-, o el que le sustituya.
Los anteriores requisitos deberán continuar cumpliéndose una vez que los aspirantes de acreditación obtengan el carácter de AC.
QUINTA.- Las dependencias y entidades que requieran utilizar la Firma Electrónica Avanzada, primero deben celebrar un convenio de colaboración o coordinación con la AC que provee el servicio de OCSP y contar con los siguientes requerimientos técnicos mínimos en sus sistemas informáticos, así como en las herramientas tecnológicas o aplicaciones:
1.     Contar con la Infraestructura de comunicación necesaria (equipos de cómputo, conexión a internet).
2.     Contar con aplicaciones que empleen el algoritmo de firmado SHA256 con RSA para certificados con una longitud de 1024, 2048 bits o superior.
 
3.     Contar con software capaz de validar los certificados mediante un servicio de consulta basado en el protocolo de comunicación OCSP que permita a los usuarios consultar el estado que guarda un Certificado Digital.
4.     Proporcionar a la AC la dirección IP y la URL desde la cual se realizarán las consultas al servicio (considerando la IP del firewall).
5.     Configurar sus servicios de comunicación de acuerdo al estándar RFC 6960 â X.509 Internet Public Key Infrastructure Online Certificate Status Protocol â OCSP.
El procedimiento que deben cumplir las dependencias y entidades, para estar en condiciones de utilizar el protocolo de comunicación OCSP es el siguiente:
1.     Verificar que el certificado digital presentado tenga una vigencia válida.
2.     Enviar un mensaje para conocer el estado que guarda el certificado digital y suspende la aceptación del certificado digital hasta que la respuesta sea recibida de parte de la AC.
3.     Obtener el mensaje de respuesta que envía el servicio de OCSP.
4.     Contar con la capacidad de interpretar las respuestas firmadas de las consultas al servicio OCSP utilizando el certificado de la AC para aceptar y en su caso rechazar la solicitud si el certificado ha sido revocado y por lo tanto no es válido a pesar de su vigencia.
SEXTA.- La conservación de los mensajes de datos y de los documentos electrónicos con firma electrónica avanzada se regirá por la naturaleza de la documentación de acuerdo con las disposiciones legales aplicables y se deberá asegurar que se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta; para tales efectos deberá observarse lo establecido en la norma oficial mexicana que para tales efectos emita la SE.
SÉPTIMA.- Los solicitantes de acreditación y las AC deben cumplir con la matriz de control descrita en el Anexo 4 "Matriz de control de seguridad para autoridades certificadoras" a fin de evitar la falsificación, alteración o uso indebido de los certificados digitales.
Asimismo, deben cumplir con generar las políticas definidas en el modelo operacional de la AC con base en la especificación del RFC 3647.
OCTAVA.- Los requisitos para obtener el carácter de AC, establecidos en las presentes disposiciones, los deberá cumplir directamente el solicitante de acreditación, y en su caso, la AC cuando obtenga tal carácter, por lo que dichas obligaciones no podrán ser cedidas, subrogadas o transferidas en favor de terceros.
Asimismo, los derechos adquiridos, una vez que se obtenga el carácter de AC, no podrán ser transferidos en favor de cualquier otra persona.
Las AC estarán sujetas a las visitas de verificación por parte de la Secretaría con el apoyo de la SE y/o del SAT, que sean necesarias para asegurar el cumplimiento de las obligaciones establecidas en la Ley, en el Reglamento y en las demás disposiciones aplicables. La realización de dichas visitas se ajustarán a lo previsto en el capítulo Décimo primero del Título Tercero de la Ley Federal de Procedimiento Administrativo.
Finalmente, la AC que obtenga tal carácter, deberá cumplir todas las disposiciones aplicables para las dependencias y entidades de la Administración Pública Federal en materia de tecnologías de la información y comunicaciones, seguridad de la información y protección de datos personales, que se encuentren vigentes.
NOVENA.- Las AC que hayan sido suspendidas o revocadas de tal carácter en términos del artículo 26 de la Ley de Firma Electrónica Avanzada y 21 de su Reglamento, deberán transferir los certificados digitales, registros y archivos generados a la AC que determine la Secretaría, los cuales serán administrados conforme a las disposiciones jurídicas aplicables.
La AC que reciba los certificados digitales debe tener un método que permita verificar en línea el estatus de los mismos.
DÉCIMA.- Para llevar a cabo el registro de datos y verificación de elementos de identificación, así como la emisión, renovación y revocación de certificados digitales, las AC deberán observar los procedimientos definidos en los anexos 1, 2 y 3 de las presentes Disposiciones Generales.
El procedimiento para la emisión de certificados digitales se formulará, tomando en cuenta los estándares internacionales que a continuación se indican:
a.     RFC 5958 "PKCS#8: Private-Key Information Syntax Standard", para la creación de la clave privada;
b.    RFC 2986 "PKCS #10: Certification Request Syntax Specification Version 1.7", para la generación del archivo de requerimiento del certificado digital, y
c.     RFC 5652 "Cryptographic Message Syntax (CMS)", para la descripción del formato del mensaje de
datos del certificado digital.
Asimismo, el procedimiento a seguirse para llevar a cabo la captura de biométricos deberá realizarse conforme al Anexo 1 de las presentes Disposiciones Generales.
DÉCIMA PRIMERA.- Las AC proporcionarán el servicio de consulta sobre el estado de validez de los certificados digitales expedidos por las mismas, el cual deberá:
I.     Cumplir con lo señalado en el RFC 6960 "X.509 Internet Public Key Infrastructure Online Certificate Status ProtocolâOCSP";
II.     Utilizar mensajes codificados que deberán ser transmitidos sobre el protocolo HTTP o HTTPS;
III.    Firmar la respuesta a la solicitud utilizando el certificado digital de la AC o bien, con otro certificado digital generado especialmente por la AC para la prestación de ese servicio;
IV.   Mantener operando el servicio con una disponibilidad del 99.95%, y
V.    Contar con una dirección electrónica para llevar a cabo la consulta correspondiente, a través del protocolo OCSP.
DÉCIMA SEGUNDA.- Las AC llevarán un registro de los certificados digitales que emitan, identificando aquéllos que hayan sido revocados, los cuales se integrarán en una Lista de Certificados Revocados, misma que elaborarán al menos cada 24 horas y que deberá cumplir con lo siguiente:
I.     Ser compatible con la última versión del estándar ISO/IEC 9594-8:2014 "The Directory: Public-key and attribute certificate frameworks" o RFC 5280 "X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile";
II.     Contener fecha y hora de su emisión, y
III.    Ser firmada por la AC que la emita.
DÉCIMA TERCERA.- En caso de contingencia o no disponibilidad del servicio de consulta sobre el estado de validez de los certificados digitales a través del protocolo OCSP, las dependencias y entidades, podrán hacer uso de la última Lista de Certificados Revocados que las AC tengan disponible para su consulta en su página Web, siempre y cuando dicha Lista de Certificados Revocados refleje el estado de validez de los certificados digitales hasta 24 horas antes del caso de contingencia o no disponibilidad del servicio.
DÉCIMA CUARTA.- Las dependencias y entidades verificarán, previamente a la firma de los mensajes de datos o documentos electrónicos, el estado de validez y vigencia del certificado digital que se utilizará en el acto de que se trate.
La verificación de validez se realizará mediante consulta que formulen a la AC que expidió el certificado digital correspondiente, a través del servicio de OCSP de acuerdo a las características definidas por la AC.
DÉCIMA QUINTA.- La interpretación para efectos administrativos de las Disposiciones Generales contenidas en el presente Acuerdo, así como la resolución de los casos no previstos en las mismas, corresponderá a la Secretaría a través de la Unidad de Gobierno Digital.
DISPOSICIONES TRANSITORIAS
Primera.- Las presentes Disposiciones entrarán en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.
Segunda.- A fin de garantizar la interoperabilidad del firmado de los certificados con una longitud de 1024 bits se debe mantener el algoritmo de firmado SHA â 1 hasta el término de vigencia del certificado.
Tercera.- Las dependencias y entidades realizarán, de acuerdo con los plazos previstos en sus respectivos programas de instrumentación para el uso de la firma electrónica avanzada, los ajustes que procedan a sus sistemas informáticos, a efecto de que los mismos cumplan con lo establecido en la disposición tercera fracción III.
Ciudad de México, a 18 de octubre de 2016.- El Secretario de Economía, Ildefonso Guajardo Villarreal.- Rúbrica.- En suplencia por ausencia del Secretario de la Función Pública con fundamento en lo dispuesto por
los artículos 7 fracción XII y 86 del Reglamento Interior de la Secretaría de la Función Pública, el Subsecretario de Responsabilidades Administrativas y Contrataciones Públicas de la Secretaría de la Función Pública, Javier Vargas Zempoaltecatl.- Rúbrica.- El Jefe del Servicio de Administración Tributaria, Osvaldo Antonio Santín Quiroz.- Rúbrica.

Objetivo
Dotar a las AC de políticas y procedimientos a través de los cuales ejerzan sus facultades, así como promover la estandarización de su operación a nivel nacional, con la finalidad de brindar un servicio eficaz, eficiente y de calidad.
Alcance
El presente procedimiento es de aplicación para el personal encargado de la emisión de los certificados (en lo sucesivo Agentes Certificadores) de las Autoridades Certificadoras (AC).
Políticas de Operación
Primera.- La AC debe tener disponible en su portal de Internet una sección particular para Firma Electrónica Avanzada que al menos contenga la siguiente información:
a.     Requisitos para solicitar la generación de la Firma Electrónica Avanzada, en términos del artículo 18 de la Ley de Firma Electrónica Avanzada.
b.     Dirección de las oficinas a las que debe acudir el solicitante.
c.     Horarios de atención.
d.     Canales de comunicación para la atención de los solicitantes.
e.     Esquema de atención a Quejas, Sugerencias y Reconocimientos.
Segunda.- La AC debe garantizar que el personal (Agente Certificador) cuenta con la capacitación correspondiente para llevar a cabo las actividades para la emisión de certificados, además de contar con los elementos de confiabilidad correspondientes.
Tercera.- La AC debe llevar a cabo evaluaciones de conocimiento y confiabilidad a los Agentes Certificadores en un periodo no mayor a 13 meses para garantizar el cumplimiento de la política previa.
Cuarta.- La AC debe garantizar que el personal que se separa del cargo de las actividades de certificación deje de tener acceso a los sistemas involucrados.
Quinta.- El personal relacionado con el proceso de emisión de certificados debe estar plenamente identificado a través de un gafete, en el que sea visible el nombre del personal, que debe portar durante el proceso de atención.
Sexta.- La AC debe contar con espacios destinados para la instalación y operación del Servicio de Acreditación de Identidad y Enrolamiento vigente, con la correspondiente señalización.
Séptima.- La AC debe garantizar que terceros y personal ajeno al proceso de emisión de certificados de Firma Electrónica Avanzada no tenga acceso a los sistemas relacionados con dichos procesos.
Octava.- Para efectos del presente procedimiento se entiende por acreditación de identidad: Al acto de comparecencia del ciudadano solicitante del certificado de Firma Electrónica Avanzada ante la AC y exhibir la documentación señalada en la sección de Firma Electrónica Avanzada de la página de Internet de la AC, la cual el Agente Certificador cotejará y validará contra los sistemas Institucionales, para proceder a canalizarlos a la Estación de Enrolamiento para el Servicio de Acreditación de Identidad y Enrolamiento.
Novena.- El Agente Certificador tendrá la obligación de verificar que el solicitante cuente con el archivo de requerimiento *.req y el formato de solicitud de firma electrónica avanzada.
En el supuesto de que el solicitante no cuente con los mismos, se le deberá apoyar para llenar la solicitud y realizar la generación del archivo de requerimiento *.req, al momento en que acuda a realizar el trámite.
Nota: Para efectos del llenado del formato de solicitud de firma electrónica avanzada, el solicitante que
opte por llenarlo a mano, podrá utilizar tinta negra o azul, utilizando únicamente tinta azul al firmar el citado formato por ambos lados, en caso que el solicitante no cuente con pluma de tinta azul, la AC deberá proporcionársela.
Décima.- Los datos y elementos de identificación obtenidos en el trámite de Firma Electrónica Avanzada formarán parte del sistema de Registro Nacional de Población (RENAPO).
El Agente Certificador deberá recabar los datos y elementos de identificación de conformidad con el Acuerdo por el cual se dan a conocer el Procedimiento Técnico de Captura de Información y el Procedimiento Técnico de Intercambio de Información, así como sus respectivos anexos, publicado en el Diario Oficial de la Federación, por la Secretaría de Gobernación.
Dichos datos y elementos de identificación serán dados a conocer por la Secretaría, la SE y el SAT en sus portales de internet.
La acreditación de la identidad y la certificación documental del trámite de generación del certificado de Firma Electrónica Avanzada del solicitante es responsabilidad del Agente Certificador, y debe estar completa antes de que se canalice al solicitante a la estación de enrolamiento para la toma de biométricos, la digitalización de la documentación probatoria y la emisión del certificado de Firma Electrónica Avanzada.
Décima primera.- La AC debe designar un responsable del proceso de emisión de certificados de Firma Electrónica Avanzada, quién será el encargado de supervisar la adecuada captura de los datos y elementos de identificación del solicitante y de garantizar que no exista inconsistencias o duplicidades de los datos y elementos de identificación.
Décima segunda.- Cuando el Agente Certificador detecte inconsistencias o duplicidades en los datos y elementos de identificación, se deberá rechazar el trámite e informar al solicitante que acuda ante la autoridad correspondiente, para corregir la inconsistencia o duplicidad.
Décima tercera.- La AC podrá emitir certificados de Firma Electrónica Avanzada para los solicitantes que se encuentren bajo ciertos supuestos especiales, siempre y cuando acrediten tal característica, de conformidad con las disposiciones jurídicas aplicables. De manera enunciativa mas no limitativa se mencionan los certificados para los menores de edad que presten exclusivamente un servicio personal subordinado, los menores de edad emancipados y los contribuyentes con incapacidad legal declarada judicialmente.
Décima cuarta.- La AC debe llevar a cabo la toma de biométricos, registro y validación de los mismos conforme al Procedimiento Técnico de Captura de Información y el Procedimiento Técnico de Intercambio de Información, así como sus respectivos anexos publicados en el Diario Oficial de la Federación, disponibles en el portal de Internet de RENAPO.
Décima quinta.- La AC debe emitir los certificados de Firma Electrónica Avanzada de acuerdo al estándar que establecen las Disposiciones Generales.
Décima sexta.- La AC debe enviar a la Autoridad Registradora los certificados de Firma Electrónica Avanzada generados a fin de que se validen y se registren dentro de la infraestructura correspondiente para su validación.
Décima séptima.- La AC debe resguardar de forma digital toda la documentación comprobatoria que acredita la identidad del solicitante en su carácter de persona física, así como el documento mediante el cual el solicitante confirma la recepción o entrega de la Firma Electrónica Avanzada de forma segura y secreta.
Décima octava.- La AC debe contar con un expediente electrónico por cada solicitante, asimismo debe mantener una bitácora electrónica de los registros o movimientos que se efectúan en el día por cada Agente Certificador y mantenerlos bajo resguardo.
Décima novena.- La AC deberá hacer del conocimiento del solicitante los siguientes términos y condiciones, los cuales deben estar impresos en el formato de solicitud, mismos que deben ser firmados de forma autógrafa por el solicitante:
Términos:
⢠El suscrito, cuyos datos generales aparecen al anverso de la solicitud de Certificado Digital de Firma Electrónica Avanzada, y a quien en lo sucesivo se le denominará como "El Solicitante" para todos los efectos legales que deriven del presente documento a que haya lugar, manifiesta ante <poner aquí el nombre de la AC>, a quien en lo sucesivo se le denominará como "La Autoridad Certificadora" (AC), que es su libre voluntad contar con un Certificado Digital de Firma Electrónica
Avanzada en el que conste la clave pública que se encuentra asociada a la clave privada y frase de seguridad que manifiesta haber generado previamente y en absoluto secreto, sin que persona alguna lo haya asistido durante dicho proceso.
⢠Asimismo manifiesta su conformidad en que "La AC" utilice el procedimiento de certificación de identidad que establece el Procedimiento Técnico de Captura de Información, publicado en el Diario Oficial de la Federación.
⢠"La AC" manifiesta que los datos personales recabados de "El Solicitante" durante su comparecencia serán protegidos, incorporados y tratados en el sistema <poner aquí el nombre del sistema de enrolamiento>, con fundamento en <poner aquí fundamento legal vigente>, y cuya finalidad es garantizar el vínculo que existe entre un Certificado Digital de Firma Electrónica Avanzada y su titular, el cual fue registrado en el "Listado de Sistemas de Datos Personales" ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales ifai.org.mx, y serán transmitidos al Registro Nacional de Población, para la conformación del "Sistema Integral del Registro Nacional de Población".
⢠La Unidad Administrativa responsable de este sistema es <poner nombre aquí>. "El Solicitante" podrá ejercer los derechos de acceso y corrección de datos a través de <poner aquí el mecanismo o ubicación del inmueble en donde se pueden ejercer estos derechos>. Lo anterior se informa en cumplimiento del DECIMOSÉPTIMO de los "Lineamientos de Protección de Datos Personales", publicados en el Diario Oficial de la Federación el 30 de septiembre de 2005.
⢠"El Solicitante" reconoce que para la emisión del referido Certificado Digital de Firma Electrónica Avanzada, "La AC" revisó la documentación que se indica en el anverso de este documento, con la cual "El Solicitante" se identificó, constatando a simple vista que los documentos corresponden a los rasgos fisonómicos y caligráficos de "El Solicitante", por lo que este último asume la responsabilidad exclusiva respecto de la autenticidad de los datos y documentación por él proporcionada a "La AC". De la misma forma "El Solicitante" asume la responsabilidad exclusiva del debido uso del Certificado Digital de Firma Electrónica Avanzada.
⢠"El Solicitante" en este acto acepta el Certificado Digital mencionado, sirviendo este documento como el acuse de recibo.
⢠Adicionalmente, "El Solicitante" acepta que el uso de la clave privada y frase de seguridad con base en las cuales dicho certificado fue elaborado, quedarán bajo su estricta y absoluta responsabilidad, la cual incluye en forma enunciativa, los daños y perjuicios, incluso aquéllos de carácter financiero, que pudieran causarse por su uso indebido, no pudiendo alegar que tal uso se realizó por persona no autorizada.
⢠"El Solicitante" conoce y acepta que la clave pública proporcionada por él y contenida en el Certificado Digital de Firma Electrónica Avanzada, así como en cualquier otro certificado digital que con posterioridad se obtenga, será de carácter público y podrá ser consultada libremente por cualquier interesado a través de los medios y formas que disponga "La AC".
⢠Por lo anterior, "El Solicitante" se obliga a mantener absoluta confidencialidad respecto de las aludidas clave privada y frase de seguridad, así como a realizar los trámites necesarios para la revocación de dicho certificado ante "La AC", mediante los mecanismos y procedimientos que el mismo establezca, en el evento de que por cualquier causa dicha información sea divulgada o se realice cualquier supuesto por el que "El Solicitante" deba solicitar su cancelación en los términos de las disposiciones jurídicas aplicables.
⢠Por otra parte "El Solicitante" manifiesta conocer el contenido y alcance de las disposiciones jurídicas relativas a la celebración de actos jurídicos mediante el uso de medios electrónicos, digitales o de cualquier otra tecnología, por lo que asume plena responsabilidad respecto de la información y contenido de todo documento electrónico o digital elaborado y enviado en el que se haga uso de la citada clave privada, toda vez que por ese solo hecho se considerará que el documento electrónico o digital le es atribuible.
⢠"El Solicitante" reconoce y acepta que "La AC" únicamente es responsable de los errores que, en su caso, llegaren a cometer bajo su responsabilidad en el proceso de generación, registro, entrega y revocación del Certificado Digital, según corresponda, así como que no será responsable por los daños y perjuicios que se pudieran causar a "El Solicitante" o a terceros, cuando por caso fortuito o fuerza mayor no puedan realizarse registros, verificaciones, revocaciones o tramitar documentos
electrónicos cifrados con las claves públicas y privadas relacionadas con dicho certificado. Para efectos de lo anterior por caso fortuito o fuerza mayor se entenderá todo acontecimiento o circunstancia inevitable, más allá del control razonable de "La AC", que le impida el cumplimiento de sus funciones con el carácter que le corresponde.
⢠"El Solicitante" reconoce a través de su firma autógrafa asentada en el espacio designado para ello en el anverso y reverso de este formato, al presente como prueba fehaciente de la aceptación de todo lo especificado en el mismo.
Condiciones:
⢠El Certificado Digital que se genere derivado de la realización de este trámite, estará disponible en <poner aquí dirección electrónica>; para que "El Solicitante" realice la descarga del mismo.
⢠La Firma Electrónica Avanzada asignada es personal e intransferible y el uso de la misma es responsabilidad de "El Solicitante".
⢠La Firma Electrónica Avanzada tendrá los mismos alcances y efectos que la firma autógrafa.
⢠Con esta firma podrá hacer uso de servicios y trámites electrónicos disponibles en los cuales se reconozca el Certificado Digital de Firma Electrónica Avanzada.
⢠"El Solicitante" será responsable de las obligaciones derivadas del uso de su firma.
⢠"El Solicitante" acepta que deberá notificar oportunamente a "La AC", la invalidación, pérdida o cualquier otra situación que pudiera implicar la reproducción o uso indebido de su clave privada.
⢠"El Solicitante" acepta las condiciones de operación y límites de responsabilidad de <poner aquí el nombre de la AC> en su calidad de "La AC" que se encuentran disponibles en la dirección electrónica <poner aquí la dirección electrónica> para su consulta.
Actividades del procedimiento y su detalle
DETALLE DE LA
ACTIVIDAD
Generación de la llave privada [*.key] y archivo de requerimiento [*.req] para la Firma Electrónica Avanzada
 
Puesto / Rol
Responsable
Tarea
Descripción de la tarea
Documentos
involucrados
Usuario
 
1.
Accede a la página de la AC en Internet en la sección de Firma Electrónica Avanzada y procede a bajar la aplicación para generar el requerimiento [*.req] y la llave privada [*.key] en su equipo de cómputo.
 
 
 
2.
Instala en su PC la aplicación que genera el *.req y *.key.
 
 
 
3.
Ejecuta la aplicación de generación de archivos antes mencionados, y llena los datos requeridos, conforme es instruido en el aplicativo.
 
 
 
4.
Respalda en una unidad de memoria extraíble USB o disco compacto [CD] el archivo *.req y lo integra a la documentación que presentará en la AC.
 
 
 
5.
Acude a la AC presentando los documentos requeridos al Agente Certificador para realizar el trámite de emisión de Certificado Digital de Firma Electrónica Avanzada.
Requisitos
    Identificación oficial.
    Acta de nacimiento.
    Solicitud de Certificado de Firma Electrónica Avanzada, firmada de forma autógrafa.
    Archivo de requerimiento [USB o CD].
 
Agente Certificador
 
6.
Verifica que la documentación presentada esté completa y determina.
está la documentación completa
Continúa en la DT 8.
No está la documentación completa
Continúa en la DT 7.
 
 
 
 
7.
Informa al Usuario de los faltantes. Devuelve documentación indicando que deberá hacer una nueva cita y traer los documentos que falten.
Concluye procedimiento
 
 
 
8.
Procede a validar la información de la documentación presentada que acredita la identidad del solicitante.
Si la información es consistente continúa en la DT10.
En caso de identificar inconsistencias, continua en la DT9.
 
 
 
9.
Informa al solicitante que no es posible llevar a cabo el trámite, por lo que será necesario que corrija las inconsistencias reportadas.
Concluye el procedimiento.
 
 
 
10.
Digitaliza la documentación con la que acredita la identidad del solicitante y la integra en un expediente electrónico.
 
 
 
11.
Canaliza al área de toma de biométricos.
 
 
 
12.
Realiza la toma de biométricos, los valida y en su caso los registra conforme al Procedimiento Técnico de Captura de Información y el Procedimiento Técnico de Intercambio de Información.
 
 
 
13.
Registra los biométricos en el sistema y se procede a generar el Certificado Digital de Firma Electrónica Avanzada.
 
 
 
14.
Se solicita al usuario registrar en el sistema su clave privada a fin de generar el Certificado Digital de Firma Electrónica Avanzada y el archivo llave.
 
 
 
15.
Se emite el "Comprobante de Inscripción para la Firma Electrónica Avanzada" para que lo firme de forma autógrafa el solicitante.
 
Usuario
 
16.
Recibe y procede a firmar de recibido en los dos tantos del "Comprobante de Inscripción para la Firma Electrónica Avanzada" y devuelve.
 
Agente Certificador
 
17.
La AC recibe y acusa de recibo con sello en los dos tantos del formato de "Solicitud de Certificado de Firma Electrónica Avanzada". La AC entrega un tanto de este al Usuario junto con un tanto del "Comprobante de Inscripción para la Firma Electrónica Avanzada", los originales de su documentación y el dispositivo externo con su archivo *.cer.
 
 
 
18.
Anexa la documentación al o expediente del Usuario la nueva documentación recibida.
Fin del Procedimiento
 
 
 
FORMATOS E INSTRUCTIVOS DE LLENADO
Comprobante de inscripción para la Firma Electrónica Avanzada
 


Objetivo
Dotar a las Autoridades Certificadoras (AC) de políticas y procedimientos a través de los cuales ejerzan sus facultades, así como promover la estandarización de su operación a nivel nacional, con la finalidad de brindar un servicio eficaz, eficiente y de calidad.
Alcance
El presente procedimiento es de aplicación para los Agentes Certificadores de las AC.
 
Políticas de Operación
Primera.- La revocación de los Certificados Digitales de Firma Electrónica Avanzada se podrá realizar en la oficina de la AC.
Segunda.- El Agente Certificador deberá acreditar la identidad del solicitante, a través de la validación de las huellas dactilares.
Se deberá corroborar con el solicitante o representante legal, según sea el caso los datos de: RFC, CURP y nombre.
Tercera.- El Agente Certificador tendrá la responsabilidad de integrar al expediente electrónico correspondiente para la generación de la Firma Electrónica Avanzada, la documentación que respalda el trámite de revocación.
Cuarta.- Para efectos de lo dispuesto en el artículo 19 de la Ley de Firma Electrónica Avanzada, los motivos para la revocación de certificados digitales serán:
1.     Extravío de la llave privada u olvido de la contraseña de acceso a la llave privada.
2.     Cambio de nombre.
3.     Cambio de Clave Única de Registro de Población.
4.     Cambio de clave de Registro Federal de Contribuyentes.
5.     Por suposición que su contraseña y/o llaves privadas fueron comprometidas.
6.     Por haberse modificado la situación jurídica del solicitante
Quinta.- El Agente Certificador deberá requerir el escrito libre de solicitud de revocación, mismo que especificará la causa por la cual se solicita la revocación del Certificado Digital. El Agente Certificador procederá conforme a lo siguiente:
1.     Se cotejará la siguiente documentación:
a.     Original o copia certificada de la identificación oficial del solicitante.
Sexta.- El Agente Certificador orientará al solicitante para que revoque su certificado utilizando el portal de Internet de la AC.
Actividades del procedimiento y su detalle
DETALLE DE LA
ACTIVIDAD
Revocación de Certificados Digitales de Firma Electrónica Avanzada
 
 
Puesto / Rol
Responsable
Tarea
Descripción de la tarea
Documentos
involucrados
 
 
 
 
 
Usuario
 
1.
Acude a la oficina de la AC a presentar escrito de solicitud de revocación de certificados.
Escrito libre
Agente Certificador
 
2.
Verifica que se presente la siguiente documentación:
±     Escrito libre con la solicitud de revocación.
±     Original o copia certificada de la identificación oficial del solicitante.
Escrito libre
Identificación oficial del
solicitante
 
Agente Certificador
 
3.
Acredita la identidad del solicitante a través de la validación de las huellas dactilares.
 
 
 
4.
Accede al sistema de revocación provisto por la AC, captura número de serie del certificado a revocar y RFC y procede a revocar.
 
 
 
5.
Imprime comprobante y entrega al Solicitante los dos tantos y solicita firme acuse de recibo.
Comprobante de
revocación de certificado
Usuario
 
6.
Recibe, firma acuse de recibo y devuelve.
Comprobante de
revocación de certificado
Agente Certificador
 
7.
Entrega al solicitante copia del escrito libre, el comprobante de revocación de certificado junto con el original de la identificación oficial.
Escrito libre
Identificación oficial
Comprobante de
revocación de certificado
 
 
8.
Digitaliza la información correspondiente a la revocación y la integra al expediente electrónico del solicitante.
 
 
 
9.
Integra al original del escrito libre el comprobante de revocación e integra al expediente físico.
Fin del Procedimiento

 
FORMATOS E INSTRUCTIVOS DE LLENADO
ESCRITO LIBRE
UBICACIÓN (CIUDAD) a ___ de ________ AÑO.
AUTORIDAD CERTIFICADORA XXXXX
ASUNTO: Revocación del Certificado Digital
de Firma Electrónica Avanzada
Quien suscribe C.____________________________________________________________ con clave de R.F.C ____________________________, y domicilio fiscal ubicado en:
________________________________________________________________________________________________________________________________________________________________y correo electrónico: _______________________________________________________________
Por medio del presente y en apego al xxxxxxxxxxxxxxx solicito a esta autoridad realice la revocación del Certificado Digital de Firma Electrónica Avanzada con número de serie 00001000000___________________________ por motivo de _______________________________________________.
Sin más por el momento y agradeciendo su atención,
ATENTAMENTE
_______________________________________
_______________________________________
                                 C.
                                 NOMBRE DEL SOLICITANTE

Objetivo
Dotar a las AC de políticas y procedimientos a través de los cuales ejerzan sus facultades, así como promover la estandarización de su operación a nivel nacional, con la finalidad de brindar un servicio eficaz, eficiente y de calidad.
Alcance
El presente procedimiento es de aplicación para los Agentes Certificadores de las Autoridades Certificadoras (AC).
Políticas de operación.
Primera.- La renovación de los certificados digitales se podrá realizar en la oficina de la AC.
Segunda.- El Agente Certificador deberá acreditar la identidad del solicitante, a través de la validación de las huellas dactilares.
Se deberá corroborar con el solicitante, según sea el caso los datos de: RFC, CURP y, nombre.
Tercera.- El Agente Certificador tendrá la responsabilidad de integrar al expediente electrónico correspondiente para la generación de la Firma Electrónica Avanzada, la documentación que respalda el trámite de renovación.
Cuarta.- Los motivos para la renovación de certificados digitales serán:
1.   Cuando el certificado de Firma Electrónica Avanzada no está vigente.
2.   Cuando la fecha de vencimiento del certificado esta próxima.
Quinta.- El Agente Certificador genera la solicitud de renovación.
Sexta.- El Agente Certificador orientará al solicitante para que renueve su certificado utilizando el portal de Internet de la AC.
Actividades del procedimiento y su detalle
DETALLE DE LA
ACTIVIDAD
Renovación de Certificados Digitales de Firma electrónica Avanzada vía AC
 
Puesto / Rol
Responsable
Tarea
Descripción de la tarea
Documentos
involucrados
 
Usuario
 
 
 
 
 
 
1.
Acude a la AC presentando los documentos requeridos para realizar el trámite de renovación del Certificado Digital de Firma Electrónica Avanzada.
Requisitos de renovación:
    Original o copia certificada de la identificación oficial del solicitante.
    Archivo de requerimiento (dispositivo o mecanismo de almacenamiento).
    Correo electrónico.
Identificación oficial
Archivo *.req
 
Agente Certificador
 
 
 
 
 
 
2.
Verifica que la documentación esté correcta.
 
 
 
3.
Corrobora con el solicitante los datos de: RFC, CURP, nombre y domicilio desplegados en pantalla, también verifica que el apartado <Biométricos> señale la opción <>.
 
 
 
 
4.
Acredita la identidad del solicitante, a través de la validación de las huellas dactilares.
 
 
 
 
 
 
 
 
5.
Genera e imprime en dos tantos la "solicitud de renovación" y recaba firma del solicitante.
 
Solicitud de renovación
 
 
6.
Genera y almacena el Certificado Digital de Firma Electrónica Avanzada en el dispositivo o mecanismo de almacenamiento.
 
 
 
7.
Imprime en dos tantos el Comprobante de Inscripción para la Firma Electrónica Avanzada y recaba firma del solicitante. Extrae dispositivo o mecanismo de almacenamiento.
 
Comprobante de
Inscripción para la Firma
Electrónica Avanzada
Usuario
 
8.
Recibe y firma de recibido en los dos tantos de la "Solicitud de renovación" y del âComprobante de Inscripción para la Firma Electrónica Avanzada' y devuelve.
 
Comprobante de
Inscripción para la Firma
Electrónica Avanzada
Agente Certificador
 
9.
Recibe y acusa de recibo con sello de la AC en los dos tantos del formato de âSolicitud de renovación, entrega un tanto de éste al solicitante junto con un tanto del âComprobante de Inscripción para la Firma Electrónica Avanzada' y los originales de su documentación y su dispositivo o mecanismo de almacenamiento con su Certificado Digital de Firma Electrónica Avanzada.
 
Comprobante de
Inscripción
 
 
 
10.
Anexa la documentación digitalizada al expediente electrónico e integra lo correspondiente al expediente físico del solicitante la nueva documentación recibida.
Fin del Procedimiento
 
 
FORMATOS E INSTRUCTIVOS DE LLENADO
Comprobante de inscripción para la Firma Electrónica Avanzada
 


Matriz de Controles para la Revisión de Seguridad para AC
Nota: La presente matriz estará vigente a partir de XXXXXX
Área de
Control
Sub-área de
Control
ID
Control
Control
Interpretación del Control
Periodicidad /
Parámetro
Requerido
Entrega esperada
Área de control: Postura de la Autoridad Certificadora sobre la Seguridad de la Información
Entendimiento del
negocio
1
Contexto del negocio
en donde éste
pretende alcanzar sus
objetivos.
Parámetros internos y
externos del ambiente AC,
establecer el alcance y
criterios de riesgos.
Se espera un documento
donde se identifique el
contexto donde la AC se va
a desenvolver, los factores
que pueden afectar, los
riesgos, factores de cambio.
Al inicio de solicitud.
Documento con la
descripción del contexto
de negocio.
2
Requerimientos de
negocio de los
distintos participantes
(internos y externos)
Requerimientos de negocio
de los distintos participantes
involucrados en el proceso
de prestación de servicios.
Ej. Gobierno, INAI
Solicitante, Negocio.
Se espera un documento en
donde se especifique qué
requerimientos existen para
que el negocio pueda
operar.
Al inicio de solicitud.
Documento y mapa de
requerimientos.
3
Definir alcance de los
objetivos y procesos
de negocio.
1. Proceso documentado del
negocio.
2. Alcance detallado del
proceso.
3. Objetivos, indicadores
claves de cumplimiento y
métricas.
4. Entradas y salidas del
proceso. (Diagrama)
5. Roles, responsabilidades
y competencias del personal
que interviene en el proceso.
6. Recursos que intervienen
en la ejecución del proceso.
(organigrama)
7. Tareas que se ejecutan
en el proceso.
8. Indicadores y métricas
que demuestren que el
proceso se realiza de forma
eficiente.
9. Estándares, normas o
buenas prácticas a las que
está alineado el proceso.
10. Monitoreo y evaluación
del proceso.
Al inicio de solicitud,
posteriormente
actualizaciones cada
que existan cambios
en los procesos.
Deben cumplir con
COBIT, TOGAF o
equivalente.
* Documento con el
proceso de negocio.
* Documento con
objetivos, indicadores
claves de cumplimiento y
métricas.
* Documento con
Entradas y salidas del
proceso.
* Estándares, normas o
buenas prácticas a las
que está alineado el
proceso.
* Monitoreo y evaluación
del proceso.
 
 
Liderazgo de la Alta
Dirección
4
Liderazgo y
compromiso
1. Se deben tener objetivos
y una política de seguridad
de la información de alto
nivel compatible con la
estrategia de negocio
corporativa dentro del
alcance de los servicios del
negocio.
2. Asegurar que los
requerimientos de la
seguridad de la información
están integrados a los
procesos organizacionales
relacionados con los
servicios del negocio.