Lista de verificación para la autorización fiscal de Proveedor de Servicios Autorizado (PSA)

Publicado: agosto 26, 2010 en Desarrolladores, FAQ's, Soluciones
Etiquetas:, , , , ,
# Componente Elementos de comprobación
1 General Anexar a la solicitud de autorización, la siguiente documentación:

  • Ficha técnica de la aplicación utilizada para prestar el servicio de generación y envío de comprobantes fiscales digitales, en la cual se debe indicar al menos:
    • el nombre de la aplicación
    • si es aplicación WEB, cliente servidor, etc.
    • lenguaje de desarrollo utilizado para la aplicación
    • sistema operativo sobre el que se ejecuta la aplicación
    • Describir y proporcionar la ruta de acceso asignada al SAT para el monitoreo de las aplicaciones de servicio y consulta de información relativa a los comprobantes fiscales digitales emitidos por sus clientes.  La aplicación deberá contener información estadística de transacciones por cliente. (Incluir manual del usuario)
2 Procesos Operativos Anexar a la solicitud de autorización la siguiente información:

  • Describir el proceso general de la solución para la generación y envío de comprobantes fiscales digitales (Incluir diagrama).
  • Describir del procedimiento por el cual los contratantes del servicio de generación y envío de comprobantes fiscales digitales proporcionan o registran y actualizan (altas y bajas) los datos de los receptores de comprobantes fiscales digitales.
  • Formato de captura de los datos que se registran, el cual debe incluir la descripción de los campos.
  • Describir el control de accesos para los contratantes del servicio de generación y envío de comprobantes fiscales digitales, así como para la consulta de información relativa a los comprobantes fiscales digitales emitidos así como su descarga. (Incluir manual del usuario)
  • Describir el control y resguardo de los folios y los certificados de sello digital que se emitan.
  • Describir el proceso general para el envío a los receptores de comprobantes fiscales tanto en forma digital como impresa, (Incluir diagrama).
  • Describir el procedimiento para la generación del archivo de reporte mensual, así como su envío al cliente para su presentación al SAT. (Incluir diagrama), anexar un ejemplo del reporte, el cual debe cumplir con las especificaciones publicadas en el anexo 20 de la RMF.
  • Proporcionar ejemplar de la aplicación de consulta de comprobantes fiscales digitales emitidos que deberá poner a disposición de los contratantes del servicio de generación y envío de comprobantes fiscales digitales, la cual deberá contar con una visualización amigable de los comprobantes fiscales digitales, así como contar como mínimo con los siguientes criterios de búsqueda de archivos: Por folio, periodos, fecha,  RFC del receptor. Incluir manual del usuario.
3 Banco de datos que reúna elementos de seguridad e inviolabilidad Anexar a la solicitud de autorización la documentación con la siguiente información:

  • Proporcionar elementos comprobatorios que demuestren que los procedimientos internos para el manejo de información se apega a mejores prácticas internacionales, las cuales deberán incluir por lo menos lo siguiente (sujeto a verificación presencial):
    • Información sobre Seguridad, Clasificación y Control de Activos, Seguridad ligada al Personal, Gestión de Comunicaciones y Operaciones, Control de Accesos, Desarrollo y Mantenimiento de sistemas y Gestión de Continuidad del Negocio.
    • Proporcionar la información relativa a la infraestructura de servidores central( modelo, marca, capacidad de procesadores, memoria, almacenamiento interno), del almacenamiento en línea  y respaldos (modelo marca, capacitad),  que formen parte del servicio de generación y envío de comprobantes fiscales digitales, indicar para que se ocupa cada uno de los servidores, por ejemplo como servidor de aplicaciones, bases de datos, firewall, entre otros, indicar la ubicación física en donde se encuentran dicha infraestructura.
    • Describir los planes de contingencia que garanticen la operación y disponibilidad del servicio, así como el resguardo y respaldo de la información relativa a los comprobantes fiscales digitales emitidos por sus clientes.
    • Información relativa a los niveles de servicio  que ofrecerán a sus clientes, cuya disponibilidad no podrá ser inferior al 95%.
    • Medidas de seguridad, clasificación, administración, control de archivos y resguardo de: Certificados, folios y comprobantes fiscales digitales en todas las fases del proceso. (Incluir diagramas)
    • Describir el proceso para la conservación de los comprobantes fiscales digitales emitidos por sus clientes por los plazos  marcados por las disposiciones fiscales. (incluir diagrama)
    • Describir las medidas de seguridad implementadas a fin de mantener tanto la integridad de los datos como de los procesos en general. (Incluir diagrama)
    • Describir el procedimiento de intercambio electrónico de datos involucrando cada una de las aplicaciones y la periodicidad del intercambio electrónico de datos entre éstas. (Incluir diagrama)
    • Descripción del manejo de pistas de auditoria y mecanismos de resguardo de claves de acceso y contraseñas.
  • Además deberá considerar también los siguientes puntos (Para mayor detalle sobre cada uno de los siguientes puntos, referirse al anexo A):
  1. Verificación del Sistema.
  2. Verificación del Centro de Datos.
4 Atención a usuarios Anexar el manual o guía para usuarios del servicio de generación  y envío comprobantes fiscales digitales

  • Habilitar una página de Internet donde se pueda consultar (indicar dirección Web):
    • Dirección de las oficinas principales y en su caso de las sucursales del prestador de servicio de generación y envío de comprobantes fiscales digitales
    • Descripción de los servicios proporcionados por el prestador de servicios de generación y envío de comprobantes fiscales digitales
    • Copia electrónica de todos los manuales o guías para usuarios que se generen para el  Servicio de generación y envío de comprobantes fiscales digitales
    • Especificar los números telefónicos de atención y soporte al cliente, y los horarios de servicio

ANEXO A

Protocolo de Puntos de Verificación y Seguridad para Proveedores deL SERVICIO DE GENERACIÓN Y ENVÍO DE COMPROBANTES FISCALES DIGITALES

  1. Verificación sobre el sistema
    • El cliente debe ingresar al sistema mediante un nombre de usuario y una clave de acceso
    • El cliente debe realizar cambios de clave de acceso, altas, bajas y cambios de sus propios clientes (receptores de comprobantes fiscales digitales) a los cuales les entregará comprobantes fiscales digitales
    • Los receptores de comprobantes fiscales digitales deben recibir el comprobante fiscal digital
      • Validar que el reporte de los comprobantes fiscales que se emitieron, mismo que se va a enviar al SAT, sigue las especificaciones publicadas en el anexo 20 de la RMF.
    • Verificar que toda operación transaccional ejecutada en el sistema deberá dejar una traza o pista de auditoria
    • Verificar que los datos operativos deberán ser respaldados de forma incremental diariamente con un respaldo total 1 vez por semana. En el caso de que la infraestructura servidores y respaldos no se encuentre dentro del territorio nacional, se debe presentar una carta bajo protesta de decir verdad de que cumple con lo que se solicita en este punto
    • Se verificara que de cada respaldo total se genere una copia almacenada fuera del sitio en donde se encuentra la infraestructura de servidores y almacenamiento. En el caso que dicha ubicación  sea fuera del territorio nacional, se debe presentar una carta bajo protesta de decir verdad de que se cumple con lo que se solicita en este punto, además de indicar la dirección en la que se encuentra la copia de la información
    • Los accesos de los usuarios finales, de hacerse vía red pública como Internet, deberá hacerse sobre de canales seguros como HTTPS
  2. Verificación del Centro de Datos
    • Verificar la existencia de mecanismos y procesos de control de acceso físicos al sitio que limiten la entrada sólo a personal autorizado
    • Verificar la existencia de protección perimetral de los sistemas de producción mediante el uso de firewalls
    • En el caso de que la infraestructura servidores y respaldos no se encuentre dentro del territorio nacional, se debe presentar una carta bajo protesta de decir verdad de que cumple con los puntos a y b

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s