Seguridad Sifei
¡La seguridad de tu información es muy importante para nosotros! A continuación te presentamos un resumen de los esfuerzos y mejores prácticas de seguridad que llevamos a cabo continuamente para garantizar que la información que nos confías esta protegida.
— Timbrado Sifei (PAC y PCECFDI) —
Postura de Sifei sobre la Seguridad de la Información
Política de Seguridad de la Información
Política de Seguridad de la Información
Nuestra Política de Seguridad de la Información está publicada y disponible para el personal interno y terceros que colaboran con Sifei y contempla, entre otros, los siguientes lineamientos:
-
Roles y responsabilidades de nuestro personal y colaboradores respecto a la seguridad de la información.
-
Lineamientos para asegurar la Confidencialidad, Integridad y Disponibilidad de la información ubicada en nuestra infraestructura y la de nuestros proveedores de servicios en la nube.
-
Aspectos de seguridad de la información que deben incluirse en todos los contratos que celebramos con nuestros proveedores.
De acuerdo con nuestra política, todo el personal de Sifei, interno o externo que interactúe, en cualquiera de sus etapas, con el proceso certificación de comprobantes fiscales en Sifei debe:
Asegurar el cumplimiento de la confidencialidad, integridad y disponibilidad de la información de nuestros clientes procesada al proporcionar el servicio de certificación de CFDIS aplicando estándares internacionales y cumplimiento con la matriz de controles establecida por el SAT para operar como PCCFDI.
Organización Interna
Acuerdos de Confidencialidad y/o no divulgación
Mantenemos acuerdos de confidencialidad y/o acuerdos de no divulgación con todo nuestro personal interno y externo, que de conformidad con la Ley Federal de Protección de Datos Personales, prevén que las personas que intervengan en cualquier fase del tratamiento de datos personales guardarán confidencialidad respecto de éstos aun después de finalizar la relación con Sifei.
Revisión Independiente de la Seguridad de la Información
En Sifei realizamos revisiones independientes de Seguridad de la Información por lo menos una vez cada seis meses y, en caso de identificar desviaciones en nuestras políticas o procesos, diseñamos planes de seguimiento que consideran las fechas de inicio y finalización de las actividades correctivas y documentamos los resultados obtenidos.
También somos auditados por compañías independientes que son contratadas por el SAT para realizar auditorías de cumplimiento de los controles de seguridad de la información en nuestros procesos y aplicaciones. El equipo de seguridad de Sifei recibe los resultados y toma medidas apropiadas de corrección cuando sea necesario.
Clasificación de la Información
Política de Clasificación de la Información
En Sifei consideramos la relevancia o sensibilidad de la información y las disposiciones del INAI para clasificar la información que manejamos en nuestros procesos de negocio.
Etiquetado y Manejo de la Información
De acuerdo con su clasificación, en Sifei aplicamos diferentes controles de seguridad para manejar adecuadamente la información a la que tenemos acceso.
Seguridad en el Personal
Personal Interno
Selección del Personal
Llevamos a cabo verificación de antecedentes relevantes de todos los candidatos a puestos internos de Sifei, especialmente aquellos que puedan ser factores de posibles incidentes de Seguridad.
Responsabilidades del Personal Interno
Formalizamos las responsabilidades del personal interno con respecto a la seguridad de la información durante la contratación y ante cambios en sus actividades mediante la inclusión, en nuestros contratos, de cláusulas que establezcan las obligaciones del personal interno respecto a la seguridad.
Capacitación del Personal en materia de Seguridad de la Información
El personal interno recibe capacitación en materia de Seguridad de la Información y uso de servicios en la nube al inicio de sus labores en Sifei y de manera periódica (por lo menos una vez al año).
Personal Externo
Responsabilidades del Personal Externo
También formalizamos las responsabilidades del personal externo con respecto a la seguridad de la información, mediante la inclusión de cláusulas que establezcan sus obligaciones sobre seguridad de la información.
Responsabilidades de los Usuarios
Uso de contraseñas
No almacenamos las contraseñas de nuestros clientes en texto plano, en su lugar las almacenamos de manera cifrada.
El personal de Sifei no tiene acceso a tu contraseña, y no la puede recuperar por ti. Por lo que la única opción si la olvidas es resetearla.
Las credenciales de inicio de sesión siempre se transmiten de forma segura mediante HTTPS.
Nuestros administradores de bases de datos nunca utilizan usuarios ni contraseñas por defecto y se utilizan contraseñas seguras para el acceso a todos nuestros sistemas de información.
Procesos de Gestión de la Seguridad
BCP
Plan de Continuidad del Negocio (BCP)
Sifei cuenta con un Plan de Continuidad del Negocio que contempla diferentes escenarios disruptivos, como Fenómenos sociales, climatológicos, entorno tecnológico de Sifei, indisponibilidad de la infraestructura en la nube, entre otros que puedan afectar la continuidad de la prestación del servicio de certificación de comprobantes fiscales.
Probamos nuestro plan de continuidad del negocio por lo menos cada 12 meses para asegurarnos que sea útil en caso de ser necesario activarlo, estas pruebas nos permiten afinarlo y mejorarlo continuamente.
Seguridad de la Plataforma Tecnológica
DRP
Plan de Recuperación de Desastres
Contamos con un plan de recuperación de desastres para que en caso de que un centro de datos deje de operar adecuadamente, la operación sea migrada a un centro secundario.
El diseño de nuestra infraestructura esta basada en una arquitectura de sitio reflejado, mantenemos una réplica de todos los datos operativos en tiempo real, lo que nos permite:
-
RPO (Objetivo de Punto de Recuperación) = 0. Esto significa que aún durante interrupciones del servicio, no se perderá ninguno de los comprobantes que te hayamos certificado.
-
RTO (Tiempo de Recuperación del Objetivo) = 2 horas y media. Es el tiempo máximo que tardaremos en restaurar el servicio en un centro de datos diferente si ocurre un desastre y el centro de datos está completamente inactivo.
Pruebas del DRP
De la misma manera que con nuestro plan de continuidad del negocio, probamos nuestro DRP por lo menos una vez cada 12 meses para asegurarnos que sea útil en caso de ser necesario activarlo, estas pruebas nos permiten afinarlo y mejorarlo continuamente.
Seguridad Física
Ubicación del Centro de Datos, control de acceso y vigilancia
Los servidores de Sifei están alojados en centros de datos de confianza y aplican nuestras políticas de seguridad física:
-
Perímetro restringido, accesible únicamente a personal autorizados de los centros de datos.
-
Controles del acceso físicos con seguridad biométrica o tarjetas de identificación.
-
Cámaras de seguridad monitoreadas 24/7/365.
-
Personal de seguridad en sitio 24/7/365
Comunicaciones
Prevención y Detección de Intrusos
Las redes dentro de nuestros centro de datos cuentan con dispositivos de prevención o detección de Intrusos y dispositivos de seguridad que aplican listas de control de acceso.
Segmentación de Redes
Las redes que forman parte dela infraestructura de Sifei están segmentadas para proteger el flujo de información en redes con distintos tipos de usuarios.
System Hardening
Líneas Base de Seguridad y actualizaciones
-
Todos los servidores de Sifei ejecutan sistemas operativos reforzados con parches de seguridad actualizados.
-
Las instalaciones son mínimas y a medida para limitar el número de servicios que pueden contener vulnerabilidades.
-
Solo unos pocos ingenieros de confianza de Sifei tienen autorización para administrar de forma remota los servidores, y el acceso solo es posible utilizando un par de claves SSH personal cifradas, desde una computadora con cifrado de disco completo.
Respaldos
Generación y pruebas
Generamos respaldos diarios, semanales y mensuales de nuestras aplicaciones y bases de datos de usuarios y las probamos de manera periódica para asegurarnos que funcionen en caso de ser necesario utilizarlos.
Protección de Medios de Respaldo
Almacenamos los medios donde se guardan los respaldos en áreas seguras y específica para tal efecto, en medios encriptados y con medidas de protección contra el acceso no autorizado.
Gestión de Medios de Almacenamiento
Etiquetado, destrucción y borrado seguro.
Inventariamos y etiquetamos con el nivel más alto de confidencialidad los medios donde almacenamos información de los contribuyentes y los manejamos de acuerdo con esa clasificación.
En caso de ser necesario, los sometemos a nuestro procedimiento de destrucción y borrado seguro para asegurarnos que la información no pueda ser recuperada en caso de disposición o reutilización de los medios de almacenamiento.
Criptografía
Criptografía en servicios expuestos
Todos nuestros servicios expuestos para el consumo por parte de nuestros clientes, como servicios web, portales web o servicios FTP, cuentan con mecanismos de criptografía.
Pruebas de seguridad
Pruebas de Seguridad y seguimiento a hallazgos
Realizamos pruebas de seguridad a todos los sistemas de información relacionados con nuestros servicios de emisión y certificación de comprobantes fiscales por lo menos una vez cada 12 meses y en caso de ser necesario realizamos planes para atender los hallazgos detectados durante las pruebas.
Protección Contra Código Malicioso
Protección contra Código Malicioso
Todos los sistemas de información que dan soporte a nuestros servicios de emisión y certificación de CFDI cuentan con una solución de protección contra código malicioso instalada y periódicamente actualizada.
Separación de Ambientes
Separación de Ambientes y Aislamiento de información de CFDI
Separamos física y/o lógicamente nuestros ambientes de desarrollo, pruebas y producción y controlamos gestionamos sus controles de acceso de manera independiente.
Además, mantenemos separada la información de la información del proceso de certificación de CFDI de nuestros demás procesos, es decir, utilizamos recursos exclusivo para el proceso de CFDI independientemente de los procesos de negocio adicionales existentes en Sifei.
Seguridad en Aplicativo
Bitácoras y Control de Accesos
Nuestras aplicaciones cuentan con control automatizado y bitácora de accesos, lo que nos permite llevar un registro de auditoría de:
-
Fecha y hora de la actividad o transacción.
-
Usuario.
-
IP origen.
-
Intentos de acceso fallidos.
-
Accesos exitosos.
-
Actividad de los usuarios.
-
Cierre de sesión por inactividad o por parte del usuario.
-
Errores y/o excepciones.
-
Consulta de las propias bitácoras.
Línea base de seguridad
Todas nuestras aplicaciones como mínimo cuentan con los siguientes controles de seguridad:
-
Inicio de sesión seguro
-
Control de acceso por medio de nombre de usuario y contraseña.
-
Expiración de sesiones de usuario después de 10 minutos de inactividad.
-
Protección contra inyección de código
-
Validación de datos de entrada / salida para evitar errores en el procesamiento de la información.
-
Manejo de errores
Encripción e Isolación de Datos
Encripción de Datos de los Contribuyentes y de información de CFDI
Nos aseguramos que la información de los comprobantes que emitimos y certificamos y los datos personales de nuestros clientes permanezcan cifrado durante su transmisión, procesamiento y almacenamiento.
Isolación
La información de nuestros clientes se encuentra almacenada en bases de datos independientes, no se comparten bases entre clientes y el acceso de una base de datos a otra no es posible.