preloder

CERTIFICACIÓN PAC

Un Proveedor Autorizado de Certificación (PAC), es una persona moral autorizada por el Servicio de Administración Tributaria (SAT), para procesar y validar los comprobantes de facturación electrónica generados por los contribuyentes, asignándoles un folio y sello digital oficial proporcionados por el SAT.

Contáctanos
“Los PAC son autorizados por el SAT para certificar las facturas electrónicas de los contribuyentes”
La Certificación PAC consiste en un proceso donde una empresa, interesada en convertirse en una extensión del SAT para poder realizar firmas electrónicas, debe cumplir una matriz de validaciones tecnológicas, fiscales y jurídicas, para garantizar que cuentan con la infraestructura apropiada para poder desempeñarse como auxiliares del SAT.

En CEGA Security ofrecemos el servicio híbrido tanto en sitio como en la nube

En la Matriz de Controles para la Revisión de Seguridad para los Aspirantes a PAC, podemos encontrar lo siguiente:

• Las llaves y certificados usados para el cifrado, deben estar protegidos por un dispositivo recubierto con algún material opaco y contar con salvaguardas que impidan que sea abierto o que invaliden la información en caso de que sea forzado algún mecanismo de seguridad (HSM Fips-140-2 Nivel 3)

“Para acreditar el control la empresa debe presentar:

En ambiente on premise

Facturas de adquisición o contratos de arrendamiento de los dispositivos HSM Fips-140-2 Nivel 3 donde se almacenará la llave privada del CSD otorgado por el SAT.
Acta firmada por los responsables de la inicialización del dispositivo y custodia de los elementos de autenticación, cada vez que se genere una llave privada en el dispositivo.
Log de inicialización de cada equipo.
Log de configuración de cada equipo.
Esquema de segregación de roles para el acceso al dispositivo.
Control de Accesos Físicos y Lógicos (Sólo personal autorizado).

En ambiente de nube

Contratos firmados con los proveedores en la nube, anexo técnico o documentación formal donde se especifique que los dispositivos o servicios HSM donde se almacena la llave privada del CSD otorgado por el SAT, cumplen con Fips-140-2 Nivel 3.
Acta firmada por los responsables de la inicialización del dispositivo/servicio y custodia de los elementos de autenticación, cada vez que se genere una llave privada en el dispositivo/ servicio.
Esquema de segregación de roles para el acceso al dispositivo/ servicio.
Log de inicialización de cada equipo/ servicio.
Log de configuración de cada equipo/ servicio.
Nota: Si el equipo o servicio es utilizado adicionalmente para procesos ajenos a la prestación del servicio de CFDI, la información del proceso de CFDI deberá permanecer aislada lógicamente de cualquier otro proceso e información.”

El Prooveedor Autorizado de Certificación del SAT

Está forzado a cumplir íntegramente la matriz de controles.

El SAT está interesado en otorgar esta certificación a empresas que cuenten con la infraestructura, tecnología y conocimientos adecuados, buscando preservar tres principios muy importantes para la seguridad de información:

Confidencialidad

El intercambio de información se realiza a través de una llave pública y una privada

Integridad

Para salvaguardar la integridad, exactitud y completitud de la información, únicamente personas o entes autorizados pueden acceder a los datos

Disponibilidad

Es imperativo que el servicio esté disponible en cualquier momento que el usuario lo requiera
Los HSM SecurityServer de Utimaco cumplen con todos los requisitos solicitados por el SAT, tanto para en premisa como en la nube
Esta Certificación se realiza directamente con el SAT y una vez que se obtiene, el PAC genera unas llaves, mismas que tendrán que generarse y resguardarse dentro de un HSM y serán utilizadas para timbrar los comprobantes.
Una vez que obtiene, se otorga al nuevo PAC un par de llaves, una .KEY y una .CER, las cuales deberán resguardar dentro de un HSM y validar así el timbrado.
Una vez obtenida la autorización, el proveedor de certificación de CFDI debe cumplir con obligaciones como:

Permite

que el SAT aplique en cualquier momento evaluaciones de confiabilidad al personal del proveedor relacionado con la certificación de CFDI.

Envía

al SAT los CFDI al momento en que realicen su certificación, con las características y especificaciones técnicas que le proporcione el SAT.

Administra

controla y resguarda a través de su sistema certificador de CFDI, los CSD que les proporcione el SAT para realizar su función.

Comunica

por escrito o vía correo electrónico a sus clientes en caso de que suspendan temporalmente sus servicios, con al menos sesenta días de anticipación, entre otros

En CEGA Security contamos con amplia experiencia en implementación de HSMs para PAC