preloder

Actualmente, la mayoría de los PAC se encuentran en una situación donde su servicio de timbrado depende de un HSM que, por lo general, o es muy grande (aumentando la complejidad), o no les permite escalar sus transacciones a la velocidad que requieren.

En la mayor parte de los casos, los Proveedores Autorizados Certificados se encuentran operando con la “mejor” solución que encontraron en su momento. Un factor común que he observado en mi trato con representantes de diferentes PAC, es que, al momento de certificarse, realizaron una investigación (algunos más a fondo que otros), y optaron por la marca que les resolvía una necesidad; ya sobre la marcha han ido conociendo la tendencia de uso y crecimiento, así como cuáles son las capacidades reales que requieren de un Hardware Security Module e incluso algunos de los Proveedores han tenido problemas por no administrar correctamente esta parte.

Un servicio de timbrado es el corazón de un PAC debido a que su función no es únicamente validar, sino dar fe de que el documento validado es ahora un comprobante timbrado y posteriormente hacer la notificación al SAT. La validación, sellado y transmisión de la información, involucra el uso de un HSM, por lo cual, no puede ser un cuello de botella a la hora de hacer transacciones o efectuar alguna actualización, pues ambas operaciones se realizan con mucha frecuencia y con un incremento de volumen, especialmente al final de cada mes y al culminar el año. Asimismo, la Secretaría de Administración Tributaria efectúa al menos uno o dos cambios al año en cuanto a la manera de operar o crear facturas.

Hoy en día, he observado que los Proveedores Autorizados Certificados se encuentran en el proceso de renovación de sus llaves criptográficas con el fin de elevar su seguridad, yendo de 1024 a 2048 bits; creo importante señalar que esto representa un crecimiento del servicio que debe tomarse en consideración ya que, con tan sólo duplicar el tamaño de la llave, elevan la exigencia a seis veces más que la original.

Muchos de los PAC se encuentran en el momento de analizar la estrategia a largo plazo y definir qué marca de HSM será la que mejor se adaptará a sus necesidades. Si tú eres uno de ellos, seguramente te estarás preguntando ¿Cómo puedo implementar un servicio que no esté sobrado desde el principio y me permita ir creciendo dependiendo de mi demanda? ¿Cómo voy de un equipo que me permite hacer 50-100 firmas por segundo, a uno mayor con forme vaya creciendo mi servicio?

Si este es tu caso permíteme explicarte una de las principales ventajas que la marca Utimaco ofrece sobre su competencia.

Utimaco es (hoy en día), la única marca que te concede a través de una licencia, la posibilidad de liberar mayor capacidad a tu equipo. Esto te permite empezar tus operaciones con un bajo nivel de transacciones y a medida que tu negocio lo requiera, escalar tu servicio de manera inmediata, sin la necesidad de realizar un cambio de equipo.

Ahora bien, si el día de mañana tus operaciones aumentaran 40 veces más ¿Qué beneficios puedes obtener de la marca Utimaco?

Es simple, agregas un equipo con mayor capacidad para absorber todo ese crecimiento en operaciones, lo configuras con una copia espejo del Hardware Security Module original y en minutos estarás listo para trabajar con toda la alta transaccionalidad que ofrece el nuevo dispositivo.

Creo importante hacer hincapié en que la marca Utimaco te permite operar con equipos de diferentes capacidades. Si tu operación hoy día requiere un servicio primario y un servicio secundario de baja transaccionalidad y por estrategias comerciales o crecimientos en la empresa ahora requieren un equipo con mucha más transaccionalidad, puedes añadir ese tercer servicio (o tercer HSM), para cubrir la capacidad necesaria del alto volumen en un equipo. Esto quiere decir que, con Utimaco, además de escalar tu servicio, también puedes anexar un tercer equipo con mayor capacidad y operar de la misma manera, con la misma interfaz apuntando las transacciones de alto volumen al servidor de mayor capacidad, mientras los HSM originales mantienen sus operaciones.

Entonces, ¿Cuándo es el mejor momento para que un PAC cambie de HSM?

Generalmente al iniciar operaciones, los PAC generan una llave dentro de un HSM y la “rotación de llave” se realiza aproximadamente cada 4 años a partir de la fecha de la primera llave. El momento clave para realizar un cambio de marca es al momento de realizar esta actualización, ya que una vez creada dentro de un Hardware Security Module y marcar la propiedad de no exportar la llave, ésta ya no podrá salir de ese dispositivo.

-El momento clave para realizar un cambio de equipo, especialmente si estás considerando cambiar la marca de tu HSM, es al momento de la “rotación de llaves”-

En este caso, estamos hablando de precisar mayor capacidad al momento de cambiar el tamaño de tu llave y requerir mayor procesamiento. Esto, como mencioné anteriormente, también forma parte del escalamiento del servicio; toma en cuenta que tu volumen no crece exclusivamente por lo que exigen tus clientes, sino lo que la misma llave posee sus propias exigencias, en este caso, al actualizar a 2048 bits, no sólo duplicas el tiempo, sino que, al ser exponencial, puede incrementar hasta 6 veces el tiempo por transacción.

Ahora, hablando específicamente de la infraestructura crítica de un PAC, además de la alta transaccionalidad, siempre es necesaria la alta disponibilidad. Esto significa que en caso de que un equipo llegara a fallar o tardara en responder (sin importar el motivo), tiene que tener opciones para completar la carga de trabajo que posee. Por esta razón, Utimaco ofrece el servicio integrado de “Fail Over”, lo que otorga redundancia al equipo en caso de que el primero falle.

Algunas marcas de la competencia ofrecen este servicio de manera externa. En el caso de Utimaco, se realiza a través de la misma interfaz del HSM, la cual conoce cuántos dispositivos se encuentran activos y en caso de que uno deje de responder, se encarga de realizar rotaciones para nivelar cualquier servicio, permitiendo al PAC no solo tener distintos servicios, sino también separarlos geográficamente y seguir operando incluso si hubiera un corte de energía o se cayera un data center, enrutando la información al equipo que está respondiendo en ese momento.

Estos son solo algunas de las ventajas de un HSM Utimaco para Proveedores Autorizados del SAT.