Contactanos: 5003-2142 o ventas@fiscoclic.mx

Saturday, 30 June 2012 19:00

Confiabilidad de los PAC (Proveedores autorizados de Certificación)

Este es uno de los temas mas importantes de todo el blog. El objetivo de éste post no es explicar todas las bondades y defectos de un PAC, si no explicar el ¿por qué los contribuyentes pueden confiarle sus datos?.

Nuestro análisis no es para catalogar lo “mejor o peor”; ni estamos diciendo que con ello esté garantizada una excelente calidad de servicio por los PAC. Lo único que se mencionará son temas en torno a la confiabilidad como institución y la infraestructura que deberían tener dichos actores.

El “Proveedor autorizado de certificación” es la entidad encargada de dar validez y “certificar” nuestros comprobantes fiscales digitales, cuyo acuse debe enviar al SAT en tiempo real. Para poder ser un PAC, el SAT publicó una serie de requisitos administrativos y principalmente una matriz de “controles” e infraestructura que debe tener una empresa para poder obtener la certificación y así poder timbrar los CFDI.

Es común que llegue a 3SIT (Empresa a la que pertenece la plataforma FiscoClic) la pregunta: ¿Por qué debo confiar los datos de mis clientes y su facturación, las claves de los Certificados y mi firma electrónica a un PAC?. La primera gran razón: No es opcional!!!… lo tenemos que hacer; pero independientemente del tema de la obligación, vamos a tratar de dar un poco de tranquilidad a todos aquellos que les preocupa lo mismo.

La matriz de requisitos para ser PAC abarca temas de seguridad, infraestructura, estructura de la aplicacion, recuperación en caso de desastre, controles, continuidad de negocio, auditorías, resguardo de información, almacenamiento de las llaves del SAT y los contribuyentes y obviamente el estandar de generación del CFDI de forma general. A continuación se detallan los más importantes.

Seguridad

La parte de seguridad es primordial en todos los requisitos. Desde el control de accesos de la aplicación hasta el control de accesos en donde residen fisicamente los equipos que van a llevar el procesamiento de las operaciones; las llaves y firmas digitales de los contribuyentes y del SAT, deben estar almacenadas “Fisicamente” en dispositivos de última generación con altísima seguridad que no son vulnerables por hackers comunes. Se cuenta con control de los cambios y se vigilan con registros detallados los mantenimientos al sistema que ejecutan las operaciones de CFDI. Además, se cuentan con mecanismos de detección y monitoreo de ataques que pudieran comprometer datos sensitivos; los datos personales que tienen que ver con el CFDI deben estar encriptados (Significa que están en un formato que no puede ser reconocido ni leido a menos que se cuente con una clave que sólamente conocen muy pocas personas); en caso de que haya una vulnerabilidad, se debe notificar al SAT en el momento para tomar correcciones casi instantaneas. Estas y muchas otras cosas se están cuidando para lograr una integridad y privacidad de datos en que pocas instituciones tienen en México. Igualmente se deben tener todos los mecanismos necesarios para asegurar el cumplimiento de la nueva ley de proteccion de datos en manos de particulares y adecuarse a la clasificación de “activos de información” y otros estándares del IFAI.

Infraestructura

Esto es un punto muy abierto ya que cumpliendo con la seguridad el SAT no exige un estándar para los dispositivos fisicos, únicamente menciona la parte de la seguridad, el procesamiento de las llaves, el estandar de generación de CFDI pero no da requerimientos concretos de capacidad de los servidores que debe tener el PAC ni para las características de los demas dispositivos, mucho menos pensar en temas de arquitectura del sistema. Es por esto, que al dejarlo abierto puede ser muy variable ya que alguien puede poner un servidor “pequeño” y hay otros que pueden implementar “granjas” enteras de servidores para atender la demanda de millones de operaciones por minutos.

Estructura de la aplicación

El aplicativo debe contar con controles de acceso, funcionalidades de captura de datos del contribuyente, validación, generación y timbrado de CFDI y esquemas de transmisión de información con altos niveles de seguridad. Esto no garantiza un buen diseño ni facilidad de uso de la aplicación. Unicamente el SAT está pidiendo que se cumpla la funcionalidad básica y con todos los estándares definidos para la generación de CFDI. Aquí va a radicar la diferencia y ventajas competitivas entre cada PAC con los servicios y funcionalidades de valor agregado.

Recuperación en caso de desastre

El “Desastre” es diferente para cualquier contexto. El PAC debe considerar todos los posibles riesgos en torno a la tecnología y a la operación diaria para poder establecer mecanismos que mantengan los servicios intactos ante algun imprevisto. Por ejemplo, el PAC debe tener equipo de computo suficiente para que en caso de la pérdida o daño de “un” equipo, en automático sigan funcionando los otros equipos para que el contribuyente no pierda el servicio. Otro caso, ¿Qué pasa si existe un evento terrorista o un catástrofe natural en el la zona en donde se encuentra el centro de datos del PAC?, el PAC debería tener un centro de datos alterno para conservar el servicio. Cada uno de estos riesgos deben ser estudiados y controlados por el PAC. Para verificar el correcto manejo de dichos riesgos, el SAT va a auditar a estos PAC cada determinado tiempo para asegurarse que esten cumpliéndolo con cada uno de los requisitos.

Controles y Auditoría Interna

La matriz es muy extensa y se hace énfasis particularmente en la parte de los controles para todos los requisitos. Existen cualquier cantidad de normas en el mundo; el SAT está pidiendo muchos monitoreos y actividades en torno a dos prácticas muy nombradas en el tema de los procesos y la seguridad de la información: ITIL (practicas para administración de la tecnología) y los ISO (practicas para aseguramiento de calidad en los procesos).

Gran parte de estos controles son protegiendo a los PAC del personal interno; ¿Cuántas veces no hemos escuchado: un empleado hackeo los sistemas internos… un empleado robo la cartera de clientes… un empleado vendió información a la competencia? todo ello supone el mayor riesgo de cualquier negocio y el SAT se está preocupando por cuidar todo ello. Finalmente el PAC va a tener información totalmente confidencial y las firmas digitales de todos los contribuyentes del país, sus ventas y los datos de sus clientes.

3SIT Soluciones Especializadas de Software (http://www.3sit.com.mx) con su plataforma FiscoClic www.fiscoclic.mx está en camino a obtener dicha certificación a mediados de éste año. Todos los procesos en torno a obtener dicha certificación son validados por gente experta, auditados en su totalidad y requieren una gran inversión en tecnología y personal capacitado. Todo ésto enfocado a cuidar la integridad, confidencial y privacidad de los datos de los contribuyentes y no menos importante para muchos, el tener una excelente calidad de servicio y soporte las 24 horas los 365 días del año.

En resumen podemos decir que el PAC tiene igual o mas controles en materia de seguridad y tecnoligía que la industria Financiera. En 3SIT nos enorgullese decir que existe personal involucrado tanto en casas de bolsa como en la Banca y podemos afirmar con responsabilidad que la infraestructura y procesos de negocio del PAC estan a niveles estándares internacionalmente y puede competir con la seguridad implementada y la capacidad instalada de cualquier entidad financiera del país.