DISPOSICIONES Generales de la Ley de Firma Electrónica Avanzada

DISPOSICIONES Generales de la Ley de Firma Electrónica Avanzada.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Economía.- Secretaría de la Función Pública.- Servicio de Administración Tributaria.

ILDEFONSO GUAJARDO VILLARREAL, Secretario de Economía; JAVIER VARGAS ZEMPOALTECATL, Subsecretario de Responsabilidades Administrativas y Contrataciones Públicas de la Secretaría de la Función Pública en ausencia del Secretario de la Función Pública y OSVALDO ANTONIO SANTN QUIROZ, Jefe del Servicio de Administración Tributaria, con fundamento en lo dispuesto por los artículos 17, 31 fracción XXXIV, 34 fracción XXXIII y 37 fracciones XXII y XXIX de la Ley Orgánica de la Administración Pública Federal; 5 segundo párrafo; 2 fracción I del Reglamento de la Ley de Firma Electrónica Avanzada; 1, 7 fracción XVIII y 14 fracción I de la Ley del Servicio de Administración Tributaria, en relación con el Artículo Tercero Transitorio del Decreto por el que se reforman, adicionan y derogan diversas disposiciones contenidas en la Ley del Servicio de Administración Tributaria publicado en el Diario Oficial de la Federación el 12 de junio del 2003; 5 fracción XVI del Reglamento Interior de la Secretaría de Economía; 6 fracción I, 7 fracción XII y 86 del Reglamento Interior de la Secretaría de la Función Pública, y 8 fracción XXI del Reglamento Interior del Servicio de Administración Tributaria, y

CONSIDERANDO

Que con fecha 11 de enero de 2012 se publicó en el Diario Oficial de la Federación la Ley de Firma Electrónica Avanzada, la cual contempla en su artículo 5, segundo párrafo, que la Secretaría de la Función Pública, la Secretaría de Economía y el Servicio de Administración Tributaria dictarán, de manera conjunta, las disposiciones generales para el adecuado cumplimiento de la Ley mencionada;

Que con fecha 21 de marzo de 2014 se publicó en el Diario Oficial de la Federación el Reglamento de la Ley de Firma Electrónica Avanzada, el cual refiere en su artículo 2, fracción I, a las Disposiciones Generales como aquellas que se emitan en términos del artículo 5 de la Ley de Firma Electrónica Avanzada;

Que resulta necesario determinar los requisitos, características, estándares y mecanismos tecnológicos que están obligados a cumplir los interesados en obtener el carácter de Autoridades Certificadoras para la emisión de los certificados digitales previstos en el artículo 24 de la Ley de Firma Electrónica Avanzada y la prestación de servicios relacionados; la estructura de los certificados digitales que emitan las Autoridades Certificadoras; los requerimientos técnicos que como mínimo deberán contener los sistemas informáticos de las dependencias y entidades de la Administración Pública Federal para estar en posibilidad de llevar a cabo el firmado de documentos electrónicos y, en su caso, mensajes de datos, así como la forma y términos en que las Autoridades Certificadoras proporcionarán a las dependencias y entidades los servicios relacionados con la firma electrónica avanzada, por lo que hemos tenido a bien emitir las siguientes

DISPOSICIONES GENERALES DE LA LEY DE FIRMA ELECTRNICA AVANZADA

Objeto

PRIMERA.- Las presentes Disposiciones Generales tienen por objeto establecer:

I. Los requisitos, características, estándares y mecanismos tecnológicos que deberán cumplir las dependencias y entidades de la Administración Pública Federal, así como los prestadores de servicios de certificación que estén interesados en obtener el carácter de Autoridad Certificadora para la emisión de los certificados digitales previstos en la Ley de Firma Electrónica Avanzada y su Reglamento, así como la autorización para la prestación de servicios relacionados con la firma electrónica avanzada;

II. La estructura que deberán cumplir los certificados digitales que emitan las Autoridades Certificadoras, previstos en el Título Tercero, Capítulo I de la Ley de Firma Electrónica Avanzada;

III. Los requerimientos técnicos mínimos para que los sistemas informáticos, así como las herramientas tecnológicas o aplicaciones de las dependencias y entidades de la Administración Pública Federal puedan llevar a cabo el firmado de documentos electrónicos y, en su caso, mensajes de datos en la realización de los actos y actuaciones a que se refiere la Ley y su Reglamento;

IV. La manera en que se llevará a cabo la conservación de los mensajes de datos y de los documentos electrónicos con firma electrónica avanzada;

V. Las medidas y controles de seguridad que deberán adoptar las Autoridades Certificadoras para

evitar la falsificación, alteración o uso indebido de Certificados Digitales;

VI. El destino de los registros y archivos generados por las Autoridades Certificadoras que hayan sido suspendidas o revocadas de tal carácter;

VII. La forma y términos en que las Autoridades Certificadoras proporcionarán a las dependencias y entidades de la Administración Pública Federal, el servicio de consulta sobre el estado de validez, de los certificados digitales que emitan, y

VIII. Cualquier otro servicio relacionado con la Firma Electrónica Avanzada.

Definiciones y acrónimos

SEGUNDA.- En adición a las definiciones previstas en la Ley de Firma Electrónica Avanzada y en su Reglamento, para efectos de las presentes Disposiciones Generales, se entenderá por:

I. AC: Autoridad Certificadora;

II. Claves criptográficas: la clave pública y la clave privada;

III. HTTP: Protocolo utilizado para el intercambio de información en Internet (Hyper Text Transfer Protocol, HTTP por sus siglas en inglés);

IV. HTTPS: Protocolo seguro para el intercambio de información en Internet (Hyper Text Transfer Protocol Secure, HTTPS por sus siglas en inglés);

V. MAAGTICSI: Manual Administrativo de Aplicación General en las materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información, emitido por la Secretaría y la Secretaría de Gobernación como anexo único del Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias;

VI. OCSP: Protocolo utilizado para obtener en tiempo real el estado actual de un certificado digital (OCSP, Online Certificate Status Protocol, por sus siglas en inglés);

VII. OID: es el número que se asigna para identificar un objeto sin ambigedad, el cual se conforma de acuerdo al estándar del Instituto Nacional Estadounidense de Estándares (ANSI American National Standards Institute) (OID, Object Identifier, por sus siglas en inglés);

VIII. SAT: el Servicio de Administración Tributaria, y

IX. SE: la Secretaría de Economía.

Disposiciones

TERCERA.- La estructura de los certificados digitales que emitan las AC debe considerar los estándares internacionales ISO/IEC 9594-8:2014 "The Directory: Public-key and attribute certificate frameworks" y RFC 5280 "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile" actualizado con el RFC 6818 y contendrá, cuando menos, los campos que a continuación se indican:

I. Número de Serie: incorporará un número entero positivo;

II. AC que lo emitió: identificará a la AC con un nombre distintivo (DN Distinguished Name) de tipo "Name" del estándar X.509 con los atributos siguientes:

ATRIBUTOS	TIPO	LONGITUD	DESCRIPCIN
commonName (CN)	PrintableString o UTF8String	64	Nombre de la AC
organizationName (O)	PrintableString o UTF8String	64	Nombre de la organización o razón social
organizationalUnitName (OU)	PrintableString o UTF8String	64	Nombre de la unidad dentro de la organización
EmailAddress (E)	IA5String	128	Correo electrónico de la organización
StreetAddress	PrintableString o UTF8String	128	Calle, número y colonia de la organización
PostalCode	PrintableString o UTF8String	40	Código postal de la organización
CountryName (C)	PrintableString	2	País
State (S)	PrintableString o UTF8String	128	Entidad federativa

LocalityName (L)

PrintableString o
UTF8String

128

Municipio o delegación

III. Algoritmo de firma: contendrá el identificador del algoritmo criptográfico utilizado por la AC para firmar el certificado digital.

El algoritmo utilizado para firmar el certificado digital deberá ser SHA256 con RSA o el estándar que en su momento la Secretaría, la SE y el SAT determinen y publiquen a través de sus portales institucionales, mismo que se deberá usar tanto para la firma de la AC como para la del particular, a fin de proveer un nivel adecuado de seguridad;

IV. Vigencia: contendrá la fecha de inicio y la de término del periodo de validez del certificado digital.

Las AC deben utilizar el formato UTCTime (YYMMDDHHMMSSZ);

V. Nombre del titular del certificado digital: identificará al titular del certificado digital con un nombre distintivo (DN Distinguished Name) de tipo "Name" del estándar X.509, con los siguientes atributos y valores:

ATRIBUTOS	TIPO	LONGITUD	DESCRIPCIN
commonName (CN)	UTF8String	64	Nombre del titular del certificado digital
serialNumber (SN)	PrintableString	64	CURP del titular del certificado digital
CountryName (C)	PrintableString	2	País
X500uniqueIdentifier (2.5.4.45)	BIT STRING		Opcional Registro Federal de Contribuyentes del titular del certificado digital
EmailAddress (E)	IA5String	128	Correo electrónico del titular del certificado digital

VI. Clave pública: contendrá la clave pública y el identificador de algoritmo (contenido en el campo algoritmo de firma), deberá tener un tamaño mínimo de 2048 bits para certificados digitales emitidos a particulares, y por lo menos de 4096 bits para certificados digitales de las AC, y

VII. Requisitos adicionales:

a) Versión: deberá contener la "Versión 3 del estándar X.509" y

b) Extensiones: contendrá la siguiente información:

ATRIBUTOS	TIPO	DESCRIPCIN
authorityKeyIdentifier	No crítica	Permite identificar la clave pública correspondiente a la clave privada que la AC utilizó para firmar el certificado digital. Usar sólo el campo KeyIdentifier, el cual debe contener los 256 bits del SHA-2 del valor subjectPublicKey del certificado digital de la AC.
subjectKeyIdentifier	No crítica	Asigna un identificador de la clave pública del titular del certificado digital. Debe contener los 256 bits del SHA-2 del valor subjectPublicKey.
keyUsage	Crítica	Usos del certificado digital
		Bit	AC	Titular
		DigitalSignature nonrepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly	S S N S S S S N N	S S N S S N N N N

basicConstraints	Crítica	Identifica si el titular del certificado digital es una AC.
extendedKeyUsage	No crítica	Indica uno o más propósitos de uso.
cRLDistributionPoint	No crítica	Indica cómo puede ser obtenida la Lista de Certificados Revocados.
authorityInfoAccess	No crítica	Indica cómo acceder a la información de la AC y sus servicios, aquí debe indicarse como mínimo la dirección electrónica de consulta de la AC.
certificatePolicies	Crítica	OID asignado por la Secretaría, quien deberá llevar un registro de los mismos.

CUARTA.- Los requisitos para adquirir el carácter de AC serán:

1. Modelo Operacional de la AC;

1.1. El solicitante de acreditación deberá definir su Modelo Operacional de la AC conforme al cual operará y prestará sus servicios al fungir como AC a efecto de lograr confiabilidad e interoperabilidad, para lo cual desarrollará los apartados siguientes:

1.1.1. Cuáles son los servicios prestados;

1.1.2. Cómo se interrelacionan los diferentes servicios;

1.1.3. En qué lugares se operará;

1.1.4. Qué tipos de certificados se entregarán;

1.1.5. Cuáles son los certificados generados con diferentes niveles de seguridad;

1.1.6. Cuáles son las políticas y procedimientos de cada tipo de certificado, y

1.1.7. Cómo se protegerán los activos.

1.2. El Modelo Operacional de la AC deberá contener un resumen que incluya:

1.2.1. Contenido del documento, y

1.2.2. Relaciones comerciales con proveedores de insumos o servicios para sus operaciones.

1.3. El Modelo Operacional de la AC deberá comprender los siguientes aspectos:

1.3.1. Interfaces con las Autoridades Registradoras;

1.3.2. Implementación de elementos de seguridad;

1.3.3. Procesos de administración;

1.3.4. Sistema de directorios para los certificados;

1.3.5. Procesos de auditoría y respaldo, y

1.3.6. Bases de Datos a utilizar.

1.4. El Modelo Operacional de la AC deberá considerar la Política de Certificados, la Declaración de Prácticas de Certificación, la Política de Seguridad de la Información y el Plan de Seguridad de Sistemas por lo que se refiere a la generación de claves.

1.5. El Modelo Operacional de la AC deberá incluir los requerimientos de seguridad física del personal, de las instalaciones y del módulo criptográfico.

2. Modelo Operacional de la Autoridad Registradora.

2.1 El solicitante de acreditación deberá definir su Modelo Operacional de Autoridad Registradora conforme al cual operará y prestará sus servicios como autoridad registradora a efecto de lograr confiabilidad e interoperabilidad, para lo cual desarrollará los apartados siguientes:

2.1.1 Cuáles son los servicios de registro que se prestarán;

2.1.2 En qué lugares se ofrecerán dichos servicios, y

2.1.3 Qué tipos de certificados generados por la AC se entregarán.

2.2 El solicitante de acreditación deberá ofrecer los mecanismos para que el propio usuario

genere en forma privada y segura sus Datos de Creación de Firma Electrónica. Deberá indicar al usuario el grado de fiabilidad de los mecanismos y dispositivos utilizados.

2.3 El Modelo Operacional de la Autoridad Registradora deberá comprender los siguientes aspectos:

2.3.1 Interfaces con AC;

2.3.2 Implementación de dispositivos de seguridad;

2.3.3 Procesos de administración;

2.3.4 Procesos de auditoría y respaldo;

2.3.5 Bases de Datos a utilizar;

2.3.6 Privacidad de datos, y

2.3.7 Descripción de la seguridad física de las instalaciones.

2.4 El Modelo Operacional de la Autoridad Registradora deberá establecer el método para proveer de una identificación unívoca del usuario y el procedimiento de uso de los Datos de Creación de la Firma Electrónica Avanzada.

3. Plan de Administración de Claves.

3.1 El solicitante de acreditación deberá definir su Plan de Administración de Claves conforme al cual generará, protegerá y administrará sus claves criptográficas, respecto de los apartados siguientes:

3.1.1 Claves de la AC;

3.1.2 Almacenamiento, respaldo, recuperación y uso de los Datos de Creación de Firma Electrónica de la AC del Prestador de Servicios de Certificación;

3.1.3 Distribución del certificado de la AC;

3.1.4 Administración del ciclo de vida del hardware criptográfico que utilice la AC, y

3.1.5 Dispositivos seguros para los usuarios.

3.2 Los procedimientos implantados de acuerdo al Plan de Administración de Claves, deberán garantizar la seguridad de las claves en todo momento, aun en caso de cambios de personal, componentes tecnológicos, y demás que señalan las presentes Reglas Generales.

3.3 El Plan de Administración de Claves deberá establecer como requerimiento mínimo el utilizar aquellas con longitud de 2048 bits para los usuarios y de 4096 bits para los Prestadores de Servicios de Certificación.

3.4 El solicitante de acreditación, su autoridad certificadora y registradoras, utilizarán dispositivos seguros para almacenar sus Datos de Creación de Firma Electrónica, compatibles como mínimo con el estándar FIPS-140 nivel 3 en sus elementos de seguridad e implantación de los algoritmos, criptográficos estándares, o el que le sustituya.

3.5 El Plan de Administración de Claves tendrá que ser compatible por lo menos con el estándar ETSI TS 102 042 sección 7.2 -Generación de la clave de la AC, Almacenamiento, Respaldo y Recuperación de la clave de la AC, Distribución de la clave pública de la AC, uso de clave de la AC, fin del ciclo de vida de la clave de la AC y Administración del ciclo de vida del Hardware criptográfico-, o el que le sustituya.

Los anteriores requisitos deberán continuar cumpliéndose una vez que los aspirantes de acreditación obtengan el carácter de AC.

QUINTA.- Las dependencias y entidades que requieran utilizar la Firma Electrónica Avanzada, primero deben celebrar un convenio de colaboración o coordinación con la AC que provee el servicio de OCSP y contar con los siguientes requerimientos técnicos mínimos en sus sistemas informáticos, así como en las herramientas tecnológicas o aplicaciones:

1. Contar con la Infraestructura de comunicación necesaria (equipos de cómputo, conexión a internet).

2. Contar con aplicaciones que empleen el algoritmo de firmado SHA256 con RSA para certificados con una longitud de 1024, 2048 bits o superior.

3. Contar con software capaz de validar los certificados mediante un servicio de consulta basado en el protocolo de comunicación OCSP que permita a los usuarios consultar el estado que guarda un Certificado Digital.

4. Proporcionar a la AC la dirección IP y la URL desde la cual se realizarán las consultas al servicio (considerando la IP del firewall).

5. Configurar sus servicios de comunicación de acuerdo al estándar RFC 6960 â X.509 Internet Public Key Infrastructure Online Certificate Status Protocol â OCSP.

El procedimiento que deben cumplir las dependencias y entidades, para estar en condiciones de utilizar el protocolo de comunicación OCSP es el siguiente:

1. Verificar que el certificado digital presentado tenga una vigencia válida.

2. Enviar un mensaje para conocer el estado que guarda el certificado digital y suspende la aceptación del certificado digital hasta que la respuesta sea recibida de parte de la AC.

3. Obtener el mensaje de respuesta que envía el servicio de OCSP.

4. Contar con la capacidad de interpretar las respuestas firmadas de las consultas al servicio OCSP utilizando el certificado de la AC para aceptar y en su caso rechazar la solicitud si el certificado ha sido revocado y por lo tanto no es válido a pesar de su vigencia.

SEXTA.- La conservación de los mensajes de datos y de los documentos electrónicos con firma electrónica avanzada se regirá por la naturaleza de la documentación de acuerdo con las disposiciones legales aplicables y se deberá asegurar que se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta; para tales efectos deberá observarse lo establecido en la norma oficial mexicana que para tales efectos emita la SE.

SPTIMA.- Los solicitantes de acreditación y las AC deben cumplir con la matriz de control descrita en el Anexo 4 "Matriz de control de seguridad para autoridades certificadoras" a fin de evitar la falsificación, alteración o uso indebido de los certificados digitales.

Asimismo, deben cumplir con generar las políticas definidas en el modelo operacional de la AC con base en la especificación del RFC 3647.

OCTAVA.- Los requisitos para obtener el carácter de AC, establecidos en las presentes disposiciones, los deberá cumplir directamente el solicitante de acreditación, y en su caso, la AC cuando obtenga tal carácter, por lo que dichas obligaciones no podrán ser cedidas, subrogadas o transferidas en favor de terceros.

Asimismo, los derechos adquiridos, una vez que se obtenga el carácter de AC, no podrán ser transferidos en favor de cualquier otra persona.

Las AC estarán sujetas a las visitas de verificación por parte de la Secretaría con el apoyo de la SE y/o del SAT, que sean necesarias para asegurar el cumplimiento de las obligaciones establecidas en la Ley, en el Reglamento y en las demás disposiciones aplicables. La realización de dichas visitas se ajustarán a lo previsto en el capítulo Décimo primero del Título Tercero de la Ley Federal de Procedimiento Administrativo.

Finalmente, la AC que obtenga tal carácter, deberá cumplir todas las disposiciones aplicables para las dependencias y entidades de la Administración Pública Federal en materia de tecnologías de la información y comunicaciones, seguridad de la información y protección de datos personales, que se encuentren vigentes.

NOVENA.- Las AC que hayan sido suspendidas o revocadas de tal carácter en términos del artículo 26 de la Ley de Firma Electrónica Avanzada y 21 de su Reglamento, deberán transferir los certificados digitales, registros y archivos generados a la AC que determine la Secretaría, los cuales serán administrados conforme a las disposiciones jurídicas aplicables.

La AC que reciba los certificados digitales debe tener un método que permita verificar en línea el estatus de los mismos.

DCIMA.- Para llevar a cabo el registro de datos y verificación de elementos de identificación, así como la emisión, renovación y revocación de certificados digitales, las AC deberán observar los procedimientos definidos en los anexos 1, 2 y 3 de las presentes Disposiciones Generales.

El procedimiento para la emisión de certificados digitales se formulará, tomando en cuenta los estándares internacionales que a continuación se indican:

a. RFC 5958 "PKCS#8: Private-Key Information Syntax Standard", para la creación de la clave privada;

b. RFC 2986 "PKCS #10: Certification Request Syntax Specification Version 1.7", para la generación del archivo de requerimiento del certificado digital, y

c. RFC 5652 "Cryptographic Message Syntax (CMS)", para la descripción del formato del mensaje de

datos del certificado digital.

Asimismo, el procedimiento a seguirse para llevar a cabo la captura de biométricos deberá realizarse conforme al Anexo 1 de las presentes Disposiciones Generales.

DCIMA PRIMERA.- Las AC proporcionarán el servicio de consulta sobre el estado de validez de los certificados digitales expedidos por las mismas, el cual deberá:

I. Cumplir con lo señalado en el RFC 6960 "X.509 Internet Public Key Infrastructure Online Certificate Status ProtocolâOCSP";

II. Utilizar mensajes codificados que deberán ser transmitidos sobre el protocolo HTTP o HTTPS;

III. Firmar la respuesta a la solicitud utilizando el certificado digital de la AC o bien, con otro certificado digital generado especialmente por la AC para la prestación de ese servicio;

IV. Mantener operando el servicio con una disponibilidad del 99.95%, y

V. Contar con una dirección electrónica para llevar a cabo la consulta correspondiente, a través del protocolo OCSP.

DCIMA SEGUNDA.- Las AC llevarán un registro de los certificados digitales que emitan, identificando aquéllos que hayan sido revocados, los cuales se integrarán en una Lista de Certificados Revocados, misma que elaborarán al menos cada 24 horas y que deberá cumplir con lo siguiente:

I. Ser compatible con la última versión del estándar ISO/IEC 9594-8:2014 "The Directory: Public-key and attribute certificate frameworks" o RFC 5280 "X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile";

II. Contener fecha y hora de su emisión, y

III. Ser firmada por la AC que la emita.

DCIMA TERCERA.- En caso de contingencia o no disponibilidad del servicio de consulta sobre el estado de validez de los certificados digitales a través del protocolo OCSP, las dependencias y entidades, podrán hacer uso de la última Lista de Certificados Revocados que las AC tengan disponible para su consulta en su página Web, siempre y cuando dicha Lista de Certificados Revocados refleje el estado de validez de los certificados digitales hasta 24 horas antes del caso de contingencia o no disponibilidad del servicio.

DCIMA CUARTA.- Las dependencias y entidades verificarán, previamente a la firma de los mensajes de datos o documentos electrónicos, el estado de validez y vigencia del certificado digital que se utilizará en el acto de que se trate.

La verificación de validez se realizará mediante consulta que formulen a la AC que expidió el certificado digital correspondiente, a través del servicio de OCSP de acuerdo a las características definidas por la AC.

DCIMA QUINTA.- La interpretación para efectos administrativos de las Disposiciones Generales contenidas en el presente Acuerdo, así como la resolución de los casos no previstos en las mismas, corresponderá a la Secretaría a través de la Unidad de Gobierno Digital.

DISPOSICIONES TRANSITORIAS

Primera.- Las presentes Disposiciones entrarán en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.

Segunda.- A fin de garantizar la interoperabilidad del firmado de los certificados con una longitud de 1024 bits se debe mantener el algoritmo de firmado SHA â 1 hasta el término de vigencia del certificado.

Tercera.- Las dependencias y entidades realizarán, de acuerdo con los plazos previstos en sus respectivos programas de instrumentación para el uso de la firma electrónica avanzada, los ajustes que procedan a sus sistemas informáticos, a efecto de que los mismos cumplan con lo establecido en la disposición tercera fracción III.

Ciudad de México, a 18 de octubre de 2016.- El Secretario de Economía, Ildefonso Guajardo Villarreal.- Rúbrica.- En suplencia por ausencia del Secretario de la Función Pública con fundamento en lo dispuesto por

los artículos 7 fracción XII y 86 del Reglamento Interior de la Secretaría de la Función Pública, el Subsecretario de Responsabilidades Administrativas y Contrataciones Públicas de la Secretaría de la Función Pública, Javier Vargas Zempoaltecatl.- Rúbrica.- El Jefe del Servicio de Administración Tributaria, Osvaldo Antonio Santín Quiroz.- Rúbrica.

Objetivo

Dotar a las AC de políticas y procedimientos a través de los cuales ejerzan sus facultades, así como promover la estandarización de su operación a nivel nacional, con la finalidad de brindar un servicio eficaz, eficiente y de calidad.

Alcance

El presente procedimiento es de aplicación para el personal encargado de la emisión de los certificados (en lo sucesivo Agentes Certificadores) de las Autoridades Certificadoras (AC).

Políticas de Operación

Primera.- La AC debe tener disponible en su portal de Internet una sección particular para Firma Electrónica Avanzada que al menos contenga la siguiente información:

a. Requisitos para solicitar la generación de la Firma Electrónica Avanzada, en términos del artículo 18 de la Ley de Firma Electrónica Avanzada.

b. Dirección de las oficinas a las que debe acudir el solicitante.

c. Horarios de atención.

d. Canales de comunicación para la atención de los solicitantes.

e. Esquema de atención a Quejas, Sugerencias y Reconocimientos.

Segunda.- La AC debe garantizar que el personal (Agente Certificador) cuenta con la capacitación correspondiente para llevar a cabo las actividades para la emisión de certificados, además de contar con los elementos de confiabilidad correspondientes.

Tercera.- La AC debe llevar a cabo evaluaciones de conocimiento y confiabilidad a los Agentes Certificadores en un periodo no mayor a 13 meses para garantizar el cumplimiento de la política previa.

Cuarta.- La AC debe garantizar que el personal que se separa del cargo de las actividades de certificación deje de tener acceso a los sistemas involucrados.

Quinta.- El personal relacionado con el proceso de emisión de certificados debe estar plenamente identificado a través de un gafete, en el que sea visible el nombre del personal, que debe portar durante el proceso de atención.

Sexta.- La AC debe contar con espacios destinados para la instalación y operación del Servicio de Acreditación de Identidad y Enrolamiento vigente, con la correspondiente señalización.

Séptima.- La AC debe garantizar que terceros y personal ajeno al proceso de emisión de certificados de Firma Electrónica Avanzada no tenga acceso a los sistemas relacionados con dichos procesos.

Octava.- Para efectos del presente procedimiento se entiende por acreditación de identidad: Al acto de comparecencia del ciudadano solicitante del certificado de Firma Electrónica Avanzada ante la AC y exhibir la documentación señalada en la sección de Firma Electrónica Avanzada de la página de Internet de la AC, la cual el Agente Certificador cotejará y validará contra los sistemas Institucionales, para proceder a canalizarlos a la Estación de Enrolamiento para el Servicio de Acreditación de Identidad y Enrolamiento.

Novena.- El Agente Certificador tendrá la obligación de verificar que el solicitante cuente con el archivo de requerimiento *.req y el formato de solicitud de firma electrónica avanzada.

En el supuesto de que el solicitante no cuente con los mismos, se le deberá apoyar para llenar la solicitud y realizar la generación del archivo de requerimiento *.req, al momento en que acuda a realizar el trámite.

Nota: Para efectos del llenado del formato de solicitud de firma electrónica avanzada, el solicitante que

opte por llenarlo a mano, podrá utilizar tinta negra o azul, utilizando únicamente tinta azul al firmar el citado formato por ambos lados, en caso que el solicitante no cuente con pluma de tinta azul, la AC deberá proporcionársela.

Décima.- Los datos y elementos de identificación obtenidos en el trámite de Firma Electrónica Avanzada formarán parte del sistema de Registro Nacional de Población (RENAPO).

El Agente Certificador deberá recabar los datos y elementos de identificación de conformidad con el Acuerdo por el cual se dan a conocer el Procedimiento Técnico de Captura de Información y el Procedimiento Técnico de Intercambio de Información, así como sus respectivos anexos, publicado en el Diario Oficial de la Federación, por la Secretaría de Gobernación.

Dichos datos y elementos de identificación serán dados a conocer por la Secretaría, la SE y el SAT en sus portales de internet.

La acreditación de la identidad y la certificación documental del trámite de generación del certificado de Firma Electrónica Avanzada del solicitante es responsabilidad del Agente Certificador, y debe estar completa antes de que se canalice al solicitante a la estación de enrolamiento para la toma de biométricos, la digitalización de la documentación probatoria y la emisión del certificado de Firma Electrónica Avanzada.

Décima primera.- La AC debe designar un responsable del proceso de emisión de certificados de Firma Electrónica Avanzada, quién será el encargado de supervisar la adecuada captura de los datos y elementos de identificación del solicitante y de garantizar que no exista inconsistencias o duplicidades de los datos y elementos de identificación.

Décima segunda.- Cuando el Agente Certificador detecte inconsistencias o duplicidades en los datos y elementos de identificación, se deberá rechazar el trámite e informar al solicitante que acuda ante la autoridad correspondiente, para corregir la inconsistencia o duplicidad.

Décima tercera.- La AC podrá emitir certificados de Firma Electrónica Avanzada para los solicitantes que se encuentren bajo ciertos supuestos especiales, siempre y cuando acrediten tal característica, de conformidad con las disposiciones jurídicas aplicables. De manera enunciativa mas no limitativa se mencionan los certificados para los menores de edad que presten exclusivamente un servicio personal subordinado, los menores de edad emancipados y los contribuyentes con incapacidad legal declarada judicialmente.

Décima cuarta.- La AC debe llevar a cabo la toma de biométricos, registro y validación de los mismos conforme al Procedimiento Técnico de Captura de Información y el Procedimiento Técnico de Intercambio de Información, así como sus respectivos anexos publicados en el Diario Oficial de la Federación, disponibles en el portal de Internet de RENAPO.

Décima quinta.- La AC debe emitir los certificados de Firma Electrónica Avanzada de acuerdo al estándar que establecen las Disposiciones Generales.

Décima sexta.- La AC debe enviar a la Autoridad Registradora los certificados de Firma Electrónica Avanzada generados a fin de que se validen y se registren dentro de la infraestructura correspondiente para su validación.

Décima séptima.- La AC debe resguardar de forma digital toda la documentación comprobatoria que acredita la identidad del solicitante en su carácter de persona física, así como el documento mediante el cual el solicitante confirma la recepción o entrega de la Firma Electrónica Avanzada de forma segura y secreta.

Décima octava.- La AC debe contar con un expediente electrónico por cada solicitante, asimismo debe mantener una bitácora electrónica de los registros o movimientos que se efectúan en el día por cada Agente Certificador y mantenerlos bajo resguardo.

Décima novena.- La AC deberá hacer del conocimiento del solicitante los siguientes términos y condiciones, los cuales deben estar impresos en el formato de solicitud, mismos que deben ser firmados de forma autógrafa por el solicitante:

Términos:

â¢ El suscrito, cuyos datos generales aparecen al anverso de la solicitud de Certificado Digital de Firma Electrónica Avanzada, y a quien en lo sucesivo se le denominará como "El Solicitante" para todos los efectos legales que deriven del presente documento a que haya lugar, manifiesta ante <poner aquí el nombre de la AC>, a quien en lo sucesivo se le denominará como "La Autoridad Certificadora" (AC), que es su libre voluntad contar con un Certificado Digital de Firma Electrónica

Avanzada en el que conste la clave pública que se encuentra asociada a la clave privada y frase de seguridad que manifiesta haber generado previamente y en absoluto secreto, sin que persona alguna lo haya asistido durante dicho proceso.

â¢ Asimismo manifiesta su conformidad en que "La AC" utilice el procedimiento de certificación de identidad que establece el Procedimiento Técnico de Captura de Información, publicado en el Diario Oficial de la Federación.

â¢ "La AC" manifiesta que los datos personales recabados de "El Solicitante" durante su comparecencia serán protegidos, incorporados y tratados en el sistema <poner aquí el nombre del sistema de enrolamiento>, con fundamento en <poner aquí fundamento legal vigente>, y cuya finalidad es garantizar el vínculo que existe entre un Certificado Digital de Firma Electrónica Avanzada y su titular, el cual fue registrado en el "Listado de Sistemas de Datos Personales" ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales ifai.org.mx, y serán transmitidos al Registro Nacional de Población, para la conformación del "Sistema Integral del Registro Nacional de Población".

â¢ La Unidad Administrativa responsable de este sistema es <poner nombre aquí>. "El Solicitante" podrá ejercer los derechos de acceso y corrección de datos a través de <poner aquí el mecanismo o ubicación del inmueble en donde se pueden ejercer estos derechos>. Lo anterior se informa en cumplimiento del DECIMOSPTIMO de los "Lineamientos de Protección de Datos Personales", publicados en el Diario Oficial de la Federación el 30 de septiembre de 2005.

â¢ "El Solicitante" reconoce que para la emisión del referido Certificado Digital de Firma Electrónica Avanzada, "La AC" revisó la documentación que se indica en el anverso de este documento, con la cual "El Solicitante" se identificó, constatando a simple vista que los documentos corresponden a los rasgos fisonómicos y caligráficos de "El Solicitante", por lo que este último asume la responsabilidad exclusiva respecto de la autenticidad de los datos y documentación por él proporcionada a "La AC". De la misma forma "El Solicitante" asume la responsabilidad exclusiva del debido uso del Certificado Digital de Firma Electrónica Avanzada.

â¢ "El Solicitante" en este acto acepta el Certificado Digital mencionado, sirviendo este documento como el acuse de recibo.

â¢ Adicionalmente, "El Solicitante" acepta que el uso de la clave privada y frase de seguridad con base en las cuales dicho certificado fue elaborado, quedarán bajo su estricta y absoluta responsabilidad, la cual incluye en forma enunciativa, los daños y perjuicios, incluso aquéllos de carácter financiero, que pudieran causarse por su uso indebido, no pudiendo alegar que tal uso se realizó por persona no autorizada.

â¢ "El Solicitante" conoce y acepta que la clave pública proporcionada por él y contenida en el Certificado Digital de Firma Electrónica Avanzada, así como en cualquier otro certificado digital que con posterioridad se obtenga, será de carácter público y podrá ser consultada libremente por cualquier interesado a través de los medios y formas que disponga "La AC".

â¢ Por lo anterior, "El Solicitante" se obliga a mantener absoluta confidencialidad respecto de las aludidas clave privada y frase de seguridad, así como a realizar los trámites necesarios para la revocación de dicho certificado ante "La AC", mediante los mecanismos y procedimientos que el mismo establezca, en el evento de que por cualquier causa dicha información sea divulgada o se realice cualquier supuesto por el que "El Solicitante" deba solicitar su cancelación en los términos de las disposiciones jurídicas aplicables.

â¢ Por otra parte "El Solicitante" manifiesta conocer el contenido y alcance de las disposiciones jurídicas relativas a la celebración de actos jurídicos mediante el uso de medios electrónicos, digitales o de cualquier otra tecnología, por lo que asume plena responsabilidad respecto de la información y contenido de todo documento electrónico o digital elaborado y enviado en el que se haga uso de la citada clave privada, toda vez que por ese solo hecho se considerará que el documento electrónico o digital le es atribuible.

â¢ "El Solicitante" reconoce y acepta que "La AC" únicamente es responsable de los errores que, en su caso, llegaren a cometer bajo su responsabilidad en el proceso de generación, registro, entrega y revocación del Certificado Digital, según corresponda, así como que no será responsable por los daños y perjuicios que se pudieran causar a "El Solicitante" o a terceros, cuando por caso fortuito o fuerza mayor no puedan realizarse registros, verificaciones, revocaciones o tramitar documentos

electrónicos cifrados con las claves públicas y privadas relacionadas con dicho certificado. Para efectos de lo anterior por caso fortuito o fuerza mayor se entenderá todo acontecimiento o circunstancia inevitable, más allá del control razonable de "La AC", que le impida el cumplimiento de sus funciones con el carácter que le corresponde.

â¢ "El Solicitante" reconoce a través de su firma autógrafa asentada en el espacio designado para ello en el anverso y reverso de este formato, al presente como prueba fehaciente de la aceptación de todo lo especificado en el mismo.

Condiciones:

â¢ El Certificado Digital que se genere derivado de la realización de este trámite, estará disponible en <poner aquí dirección electrónica>; para que "El Solicitante" realice la descarga del mismo.

â¢ La Firma Electrónica Avanzada asignada es personal e intransferible y el uso de la misma es responsabilidad de "El Solicitante".

â¢ La Firma Electrónica Avanzada tendrá los mismos alcances y efectos que la firma autógrafa.

â¢ Con esta firma podrá hacer uso de servicios y trámites electrónicos disponibles en los cuales se reconozca el Certificado Digital de Firma Electrónica Avanzada.

â¢ "El Solicitante" será responsable de las obligaciones derivadas del uso de su firma.

â¢ "El Solicitante" acepta que deberá notificar oportunamente a "La AC", la invalidación, pérdida o cualquier otra situación que pudiera implicar la reproducción o uso indebido de su clave privada.

â¢ "El Solicitante" acepta las condiciones de operación y límites de responsabilidad de <poner aquí el nombre de la AC> en su calidad de "La AC" que se encuentran disponibles en la dirección electrónica <poner aquí la dirección electrónica> para su consulta.

Actividades del procedimiento y su detalle

DETALLE DE LA
ACTIVIDAD

Generación de la llave privada [*.key] y archivo de requerimiento [*.req] para la Firma Electrónica Avanzada

Puesto / Rol Responsable	Tarea	Descripción de la tarea		Documentos involucrados
Usuario		1.	Accede a la página de la AC en Internet en la sección de Firma Electrónica Avanzada y procede a bajar la aplicación para generar el requerimiento [.req] y la llave privada [.key] en su equipo de cómputo.
		2.	Instala en su PC la aplicación que genera el .req y .key.
		3.	Ejecuta la aplicación de generación de archivos antes mencionados, y llena los datos requeridos, conforme es instruido en el aplicativo.
		4.	Respalda en una unidad de memoria extraíble USB o disco compacto [CD] el archivo *.req y lo integra a la documentación que presentará en la AC.

		5.	Acude a la AC presentando los documentos requeridos al Agente Certificador para realizar el trámite de emisión de Certificado Digital de Firma Electrónica Avanzada. Requisitos Identificación oficial. Acta de nacimiento. Solicitud de Certificado de Firma Electrónica Avanzada, firmada de forma autógrafa. Archivo de requerimiento [USB o CD].
Agente Certificador		6.	Verifica que la documentación presentada esté completa y determina. Sí está la documentación completa Continúa en la DT 8. No está la documentación completa Continúa en la DT 7.

		7.	Informa al Usuario de los faltantes. Devuelve documentación indicando que deberá hacer una nueva cita y traer los documentos que falten. Concluye procedimiento
		8.	Procede a validar la información de la documentación presentada que acredita la identidad del solicitante. Si la información es consistente continúa en la DT10. En caso de identificar inconsistencias, continua en la DT9.
		9.	Informa al solicitante que no es posible llevar a cabo el trámite, por lo que será necesario que corrija las inconsistencias reportadas. Concluye el procedimiento.
		10.	Digitaliza la documentación con la que acredita la identidad del solicitante y la integra en un expediente electrónico.
		11.	Canaliza al área de toma de biométricos.
		12.	Realiza la toma de biométricos, los valida y en su caso los registra conforme al Procedimiento Técnico de Captura de Información y el Procedimiento Técnico de Intercambio de Información.
		13.	Registra los biométricos en el sistema y se procede a generar el Certificado Digital de Firma Electrónica Avanzada.
		14.	Se solicita al usuario registrar en el sistema su clave privada a fin de generar el Certificado Digital de Firma Electrónica Avanzada y el archivo llave.
		15.	Se emite el "Comprobante de Inscripción para la Firma Electrónica Avanzada" para que lo firme de forma autógrafa el solicitante.

Usuario	16.	Recibe y procede a firmar de recibido en los dos tantos del "Comprobante de Inscripción para la Firma Electrónica Avanzada" y devuelve.
Agente Certificador	17.	La AC recibe y acusa de recibo con sello en los dos tantos del formato de "Solicitud de Certificado de Firma Electrónica Avanzada". La AC entrega un tanto de este al Usuario junto con un tanto del "Comprobante de Inscripción para la Firma Electrónica Avanzada", los originales de su documentación y el dispositivo externo con su archivo *.cer.
	18.	Anexa la documentación al o expediente del Usuario la nueva documentación recibida. Fin del Procedimiento

FORMATOS E INSTRUCTIVOS DE LLENADO

Comprobante de inscripción para la Firma Electrónica Avanzada

Objetivo

Dotar a las Autoridades Certificadoras (AC) de políticas y procedimientos a través de los cuales ejerzan sus facultades, así como promover la estandarización de su operación a nivel nacional, con la finalidad de brindar un servicio eficaz, eficiente y de calidad.

Alcance

El presente procedimiento es de aplicación para los Agentes Certificadores de las AC.

Políticas de Operación

Primera.- La revocación de los Certificados Digitales de Firma Electrónica Avanzada se podrá realizar en la oficina de la AC.

Segunda.- El Agente Certificador deberá acreditar la identidad del solicitante, a través de la validación de las huellas dactilares.

Se deberá corroborar con el solicitante o representante legal, según sea el caso los datos de: RFC, CURP y nombre.

Tercera.- El Agente Certificador tendrá la responsabilidad de integrar al expediente electrónico correspondiente para la generación de la Firma Electrónica Avanzada, la documentación que respalda el trámite de revocación.

Cuarta.- Para efectos de lo dispuesto en el artículo 19 de la Ley de Firma Electrónica Avanzada, los motivos para la revocación de certificados digitales serán:

1. Extravío de la llave privada u olvido de la contraseña de acceso a la llave privada.

2. Cambio de nombre.

3. Cambio de Clave nica de Registro de Población.

4. Cambio de clave de Registro Federal de Contribuyentes.

5. Por suposición que su contraseña y/o llaves privadas fueron comprometidas.

6. Por haberse modificado la situación jurídica del solicitante

Quinta.- El Agente Certificador deberá requerir el escrito libre de solicitud de revocación, mismo que especificará la causa por la cual se solicita la revocación del Certificado Digital. El Agente Certificador procederá conforme a lo siguiente:

1. Se cotejará la siguiente documentación:

a. Original o copia certificada de la identificación oficial del solicitante.

Sexta.- El Agente Certificador orientará al solicitante para que revoque su certificado utilizando el portal de Internet de la AC.

Actividades del procedimiento y su detalle

DETALLE DE LA
ACTIVIDAD

Revocación de Certificados Digitales de Firma Electrónica Avanzada

Puesto / Rol Responsable	Tarea	Descripción de la tarea		Documentos involucrados

Usuario		1.	Acude a la oficina de la AC a presentar escrito de solicitud de revocación de certificados.	Escrito libre

Agente Certificador	2.	Verifica que se presente la siguiente documentación: Â± Escrito libre con la solicitud de revocación. Â± Original o copia certificada de la identificación oficial del solicitante.	Escrito libre Identificación oficial del solicitante
Agente Certificador	3.	Acredita la identidad del solicitante a través de la validación de las huellas dactilares.
	4.	Accede al sistema de revocación provisto por la AC, captura número de serie del certificado a revocar y RFC y procede a revocar.
	5.	Imprime comprobante y entrega al Solicitante los dos tantos y solicita firme acuse de recibo.	Comprobante de revocación de certificado
Usuario	6.	Recibe, firma acuse de recibo y devuelve.	Comprobante de revocación de certificado
Agente Certificador	7.	Entrega al solicitante copia del escrito libre, el comprobante de revocación de certificado junto con el original de la identificación oficial.	Escrito libre Identificación oficial Comprobante de revocación de certificado
	8.	Digitaliza la información correspondiente a la revocación y la integra al expediente electrónico del solicitante.
	9.	Integra al original del escrito libre el comprobante de revocación e integra al expediente físico. Fin del Procedimiento

FORMATOS E INSTRUCTIVOS DE LLENADO

ESCRITO LIBRE

UBICACIN (CIUDAD) a ___ de ________ AÑO.

AUTORIDAD CERTIFICADORA XXXXX

ASUNTO: Revocación del Certificado Digital

de Firma Electrónica Avanzada

Quien suscribe C.____________________________________________________________ con clave de R.F.C ____________________________, y domicilio fiscal ubicado en:

________________________________________________________________________________________________________________________________________________________________y correo electrónico: _______________________________________________________________

Por medio del presente y en apego al xxxxxxxxxxxxxxx solicito a esta autoridad realice la revocación del Certificado Digital de Firma Electrónica Avanzada con número de serie 00001000000___________________________ por motivo de _______________________________________________.

Sin más por el momento y agradeciendo su atención,

ATENTAMENTE

_______________________________________

NOMBRE DEL SOLICITANTE

Objetivo

Alcance

El presente procedimiento es de aplicación para los Agentes Certificadores de las Autoridades Certificadoras (AC).

Políticas de operación.

Primera.- La renovación de los certificados digitales se podrá realizar en la oficina de la AC.

Segunda.- El Agente Certificador deberá acreditar la identidad del solicitante, a través de la validación de las huellas dactilares.

Se deberá corroborar con el solicitante, según sea el caso los datos de: RFC, CURP y, nombre.

Cuarta.- Los motivos para la renovación de certificados digitales serán:

1. Cuando el certificado de Firma Electrónica Avanzada no está vigente.

2. Cuando la fecha de vencimiento del certificado esta próxima.

Quinta.- El Agente Certificador genera la solicitud de renovación.

Sexta.- El Agente Certificador orientará al solicitante para que renueve su certificado utilizando el portal de Internet de la AC.

Actividades del procedimiento y su detalle

DETALLE DE LA
ACTIVIDAD

Renovación de Certificados Digitales de Firma electrónica Avanzada vía AC

Puesto / Rol Responsable	Tarea	Descripción de la tarea		Documentos involucrados
Usuario
		1.	Acude a la AC presentando los documentos requeridos para realizar el trámite de renovación del Certificado Digital de Firma Electrónica Avanzada. Requisitos de renovación: Original o copia certificada de la identificación oficial del solicitante. Archivo de requerimiento (dispositivo o mecanismo de almacenamiento). Correo electrónico.	Identificación oficial Archivo *.req

Agente Certificador
	2.	Verifica que la documentación esté correcta.
	3.	Corrobora con el solicitante los datos de: RFC, CURP, nombre y domicilio desplegados en pantalla, también verifica que el apartado <Biométricos> señale la opción <Sí>.
	4.	Acredita la identidad del solicitante, a través de la validación de las huellas dactilares.

	5.	Genera e imprime en dos tantos la "solicitud de renovación" y recaba firma del solicitante.	Solicitud de renovación
	6.	Genera y almacena el Certificado Digital de Firma Electrónica Avanzada en el dispositivo o mecanismo de almacenamiento.
	7.	Imprime en dos tantos el Comprobante de Inscripción para la Firma Electrónica Avanzada y recaba firma del solicitante. Extrae dispositivo o mecanismo de almacenamiento.	Comprobante de Inscripción para la Firma Electrónica Avanzada
Usuario	8.	Recibe y firma de recibido en los dos tantos de la "Solicitud de renovación" y del âComprobante de Inscripción para la Firma Electrónica Avanzada' y devuelve.	Comprobante de Inscripción para la Firma Electrónica Avanzada

Agente Certificador		9.	Recibe y acusa de recibo con sello de la AC en los dos tantos del formato de âSolicitud de renovación, entrega un tanto de éste al solicitante junto con un tanto del âComprobante de Inscripción para la Firma Electrónica Avanzada' y los originales de su documentación y su dispositivo o mecanismo de almacenamiento con su Certificado Digital de Firma Electrónica Avanzada.	Comprobante de Inscripción
		10.	Anexa la documentación digitalizada al expediente electrónico e integra lo correspondiente al expediente físico del solicitante la nueva documentación recibida. Fin del Procedimiento

FORMATOS E INSTRUCTIVOS DE LLENADO

Comprobante de inscripción para la Firma Electrónica Avanzada

Matriz de Controles para la Revisión de Seguridad para AC
Nota: La presente matriz estará vigente a partir de XXXXXX
Área de Control	Sub-área de Control	ID Control	Control	Interpretación del Control	Periodicidad / Parámetro Requerido	Entrega esperada
Área de control: Postura de la Autoridad Certificadora sobre la Seguridad de la Información

Entendimiento del negocio	1	Contexto del negocio en donde éste pretende alcanzar sus objetivos.	Parámetros internos y externos del ambiente AC, establecer el alcance y criterios de riesgos. Se espera un documento donde se identifique el contexto donde la AC se va a desenvolver, los factores que pueden afectar, los riesgos, factores de cambio.	Al inicio de solicitud.	Documento con la descripción del contexto de negocio.
	2	Requerimientos de negocio de los distintos participantes (internos y externos)	Requerimientos de negocio de los distintos participantes involucrados en el proceso de prestación de servicios. Ej. Gobierno, INAI Solicitante, Negocio. Se espera un documento en donde se especifique qué requerimientos existen para que el negocio pueda operar.	Al inicio de solicitud.	Documento y mapa de requerimientos.
	3	Definir alcance de los objetivos y procesos de negocio.	1. Proceso documentado del negocio. 2. Alcance detallado del proceso. 3. Objetivos, indicadores claves de cumplimiento y métricas. 4. Entradas y salidas del proceso. (Diagrama) 5. Roles, responsabilidades y competencias del personal que interviene en el proceso. 6. Recursos que intervienen en la ejecución del proceso. (organigrama) 7. Tareas que se ejecutan en el proceso. 8. Indicadores y métricas que demuestren que el proceso se realiza de forma eficiente. 9. Estándares, normas o buenas prácticas a las que está alineado el proceso. 10. Monitoreo y evaluación del proceso.	Al inicio de solicitud, posteriormente actualizaciones cada que existan cambios en los procesos. Deben cumplir con COBIT, TOGAF o equivalente.	* Documento con el proceso de negocio. * Documento con objetivos, indicadores claves de cumplimiento y métricas. * Documento con Entradas y salidas del proceso. * Estándares, normas o buenas prácticas a las que está alineado el proceso. * Monitoreo y evaluación del proceso.

Liderazgo de la Alta
Dirección

Liderazgo y
compromiso

1. Se deben tener objetivos
y una política de seguridad
de la información de alto
nivel compatible con la
estrategia de negocio
corporativa dentro del
alcance de los servicios del
negocio.

2. Asegurar que los
requerimientos de la
seguridad de la información
están integrados a los
procesos organizacionales
relacionados con los
servicios del negocio.

3. Asegurar que se
proporcionen los recursos
requeridos para mantener la
seguridad de la información
del negocio.

4. Comunicar en forma
efectiva la importancia de
mantener los niveles
adecuados de seguridad de
información y se conforme
con todo lo solicitado por la
Secretaría, con el apoyo
técnico de la Secretaría de
Economía y el Servicio de
Administración Tributaria, en
este rubro.

5. Asegurar que los
requerimientos de seguridad
de la información alcancen
sus objetivos.

6. Dirigir y liderar los roles
gerenciales para contribuir a
la efectividad en el
cumplimiento de los
requerimientos de seguridad
y la mejora continua de su
gestión.

Al inicio de solicitud,
posteriormente
actualizaciones cada
que existan cambios
en las directivas y
políticas de
seguridad.

Deben cumplir con
ISO27000, Risk IT o
equivalente.

* Documento con la
incorporación de la
estrategia de seguridad
en la del negocio.

* Documento con los
recursos asignados.

* Documento con el
programa de seguridad
de la información.