El blog de Conecta.mx

El Papel del Proveedor Autorizado de Certificación (PAC)

Escrito por Conecta | Sep 6, 2023 7:28:38 PM

Tiempo de lectura: 3 minutos.

 

 

La era digital ha transformado la manera en que las empresas gestionan sus procesos contables y fiscales. Uno de los aspectos más importantes de esta transformación es la facturación electrónica, un sistema que brinda eficiencia y trazabilidad en la generación y validación de comprobantes fiscales. 

 

Para asegurar la integridad, confidencialidad y disponibilidad de esta información sensible, el Servicio de Administración Tributaria (SAT) autoriza a proveedores a procesar y validar estos comprobantes.

 

En este artículo, exploramos el papel fundamental de los PACs y las medidas que implementan para garantizar la seguridad de la información.

 

 

¿Qué es un Proveedor Autorizado de Certificación (PAC)?

 

Un Proveedor Autorizado de Certificación (PAC) es una entidad autorizada por el SAT para procesar y validar los comprobantes para efectos fiscales de manera electrónica y 100% digital.  

 

Estos proveedores desempeñan un papel esencial al asignar folios y sellos digitales oficiales proporcionados por el SAT a los comprobantes, asegurando su autenticidad y cumplimiento fiscal.

 

 

 

 

Seguridad en la Certificación de Facturación Electrónica

 

La seguridad de la información es un pilar fundamental en el proceso de facturación electrónica. 

 

 

 

Los PACs deben cumplir con rigurosas validaciones:

  • Tecnológicas
  • Fiscales 
  • Jurídicas

Además de contar con la infraestructura adecuada, para gestionar de manera segura los datos sensibles de los contribuyentes.

 

 

 

Para garantizar la seguridad, el SAT se enfocan en tres principios clave:

 

1. Confidencialidad:

 

El intercambio seguro de información es esencial en la facturación electrónica. Esto se logra mediante el uso de llaves públicas y privadas, que permiten cifrar y descifrar los datos de manera segura. El PAC debe demostrar que cuenta con procedimientos para proteger estas llaves, evitando su acceso no autorizado.

 

  1. 2. Integridad:

 

La integridad de los datos garantiza que solo personas o entidades autorizadas puedan acceder a la información. El PAC debe establecer mecanismos para verificar la autenticidad de los comprobantes, y evitar alteraciones no autorizadas.

 

  1. 3. Disponibilidad:

 

El servicio de facturación electrónica debe estar disponible en todo momento para los usuarios. Los PACs deben implementar redundancias y sistemas de respaldo para asegurar que el servicio esté disponible cuando sea necesario.

 

 

 

 

Medidas de Seguridad Implementadas por los PACs

 

Los PACs implementan medidas específicas para asegurar la seguridad en la certificación de facturación electrónica. 

Estas medidas varían según si los servicios se ejecutan en un entorno "on premise" o en la nube:

 

En el entorno "On Premise" En la Nube
En este caso, el PAC debe presentar pruebas de cumplimiento con requisitos clave, como:

En el caso de servicios en la nube, el PAC debe demostrar:

Facturas de adquisición o contratos de arrendamiento de dispositivos de seguridad (HSM Fips-140-2 Nivel 3), donde se almacena la llave privada otorgada por el SAT.
  •  
Acta firmada por los responsables de la inicialización y custodia de elementos de autenticación.
  •  
Esquema de segregación de roles para el acceso a los dispositivos.
  •  
Registros de inicialización y configuración de equipos.
  •  
  • Control de accesos físicos y lógicos para personal autorizado.

Contratos con proveedores de la nube que certifiquen el cumplimiento con estándares de seguridad (Fips-140-2 Nivel 3).


Actas firmadas por responsables de inicialización y custodia de autenticación.


Esquema de segregación de roles para el acceso al servicio.


Registros de inicialización y configuración de servicios.

 

 

Obligaciones del Proveedor de Certificación de CFDI

 

Además de las medidas técnicas, los PACs deben cumplir con otras obligaciones para mantener la confiabilidad del proceso:

 

  • Someterse a evaluaciones de confiabilidad por parte del SAT.
  • Enviar al SAT los comprobantes al momento de la certificación.
  • Administrar y resguardar los Certificados de Sello Digital (CSD) proporcionados por el SAT.
  • Comunicar a los clientes si suspenden temporalmente sus servicios.
  • Cumplir con todas las regulaciones y especificaciones técnicas proporcionadas por el SAT.

 

 

Criptografía en los Servicios Externos

 

Los servicios expuestos a los clientes deben contar con mecanismos de criptografía para proteger los datos transmitidos. Los PACs deben demostrar el cumplimiento de estos mecanismos mediante pruebas visuales como fotos, videos o contratos.

 

Protección de Llaves y Certificados

 

Las llaves y certificados utilizados en el proceso deben estar protegidos por dispositivos seguros, como los HSM Fips-140-2 Nivel 3, que impiden accesos no autorizados o intentos de forzar su apertura.

 

Gestión de Llaves

 

El PAC debe tener un procedimiento claro para gestionar las llaves privadas de los Certificados de Sello Digital (CSD). Este procedimiento debe incluir protocolos de acceso, configuración de seguridad, registros de control y protocolos de respaldo.

 

La seguridad en el proceso de certificación de facturación electrónica es esencial para garantizar la confiabilidad y cumplimiento fiscal. Los Proveedores Autorizados de Certificación (PACs) desempeñan un rol crucial al implementar medidas rigurosas de seguridad que protegen la confidencialidad, integridad y disponibilidad de la información, la Criptografía hace posible que los PACs cumplan con todo esto.

 

Cumplir con estas obligaciones asegura que los contribuyentes puedan confiar en la validez de sus comprobantes electrónicos, contribuyendo a un entorno fiscal más transparente y eficiente.

Si deseas más información sobre cómo garantizamos la seguridad en nuestros servicios, no dudes en acercarte a nuestros expertos.