Certificación PAC
Un Proveedor Autorizado de Certificación (PAC), es una persona moral autorizada por el Servicio de Administración Tributaria (SAT), para procesar y validar los comprobantes de facturación electrónica generados por los contribuyentes, asignándoles un folio y sello digital oficial proporcionados por el SAT.
CERTIFICACIÓN PAC
“Los PAC son autorizados por el SAT para certificar las facturas electrónicas de los contribuyentes”
La Certificación PAC consiste en un proceso donde una empresa, interesada en convertirse en una extensión del SAT para poder realizar firmas electrónicas, debe cumplir una matriz de validaciones tecnológicas, fiscales y jurídicas, para garantizar que cuentan con la infraestructura apropiada para poder desempeñarse como auxiliares del SAT.
En CEGA Security ofrecemos el servicio híbrido tanto en sitio como en la nube
En la Matriz de Controles para la Revisión de Seguridad para los Aspirantes a PAC, podemos encontrar lo siguiente:
Las llaves y certificados usados para el cifrado, deben estar protegidos por un dispositivo recubierto con algún material opaco y contar con salvaguardas que impidan que sea abierto o que invaliden la información en caso de que sea forzado algún mecanismo de seguridad (HSM Fips-140-2 Nivel 3)
Para acreditar el control la empresa debe presentar:
En ambiente on premise
Acta firmada por los responsables de la inicialización del dispositivo y custodia de los elementos de autenticación, cada vez que se genere una llave privada en el dispositivo.
Esquema de segregación de roles para el acceso al dispositivo.
Control de Accesos Físicos y Lógicos (Sólo personal autorizado).
En ambiente de nube
Contratos firmados con los proveedores en la nube, anexo técnico o documentación formal donde se especifique que los dispositivos o servicios HSM donde se almacena la llave privada del CSD otorgado por el SAT, cumplen con Fips-140-2 Nivel 3.
Acta firmada por los responsables de la inicialización del dispositivo/servicio y custodia de los elementos de autenticación, cada vez que se genere una llave privada en el dispositivo/ servicio.
Nota: Si el equipo o servicio es utilizado adicionalmente para procesos ajenos a la prestación del servicio de CFDI, la información del proceso de CFDI deberá permanecer aislada lógicamente de cualquier otro proceso e información.”
El Prooveedor Autorizado de Certificación del SAT Está forzado a cumplir íntegramente la matriz de controles.
El SAT está interesado en otorgar esta certificación a empresas que cuenten con la infraestructura, tecnología y conocimientos adecuados, buscando preservar tres principios muy importantes para la seguridad de información:
Confidencialidad
El intercambio de información se realiza a través de una llave pública y una privada
Integridad
Para salvaguardar la integridad, exactitud y completitud de la información, únicamente personas o entes autorizados pueden acceder a los datos
Disponibilidad
Es imperativo que el servicio esté disponible en cualquier momento que el usuario lo requiera
Certificación PAC
Esta Certificación se realiza directamente con el SAT y una vez que se obtiene, el PAC genera unas llaves, mismas que tendrán que generarse y resguardarse dentro de un HSM y serán utilizadas para timbrar los comprobantes.
Una vez que obtiene, se otorga al nuevo PAC un par de llaves, una .KEY y una .CER, las cuales deberán resguardar dentro de un HSM y validar así el timbrado.
Una vez obtenida la autorización, el proveedor de certificación de CFDI debe cumplir con obligaciones como:
Permite
Que el SAT aplique en cualquier momento evaluaciones de confiabilidad al personal del proveedor relacionado con la certificación de CFDI.