Contenido

1. Introducción
2. Objetivo y Alcance
3. Definiciones y Acrónimos
4. Nombre e identificación del documento
5. Participantes en el servicio de emisión de Constancias de Conservación de Mensajes de Datos
6. Administración del Documento
7. Conceptos Generales
8. Declaración de Practicas
9. Obligaciones y Responsabilidades
10. Requisitos de las Practicas de la ACCMD
11. Consideraciones de seguridad
12. Auditorías
13. Referencias
14. Control de revisiones y cambios
15. Revisión y aprobación del documento

• 15.1 Calendario para la revisión y actualización de la Declaración

1.  Introducción

Este documento establece el conjunto de Prácticas que emplea Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación al prestar el servicio de emisión de Constancias de Conservación de Mensajes de Datos de conformidad con la NOM-151-SCFi-2016.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación ofrece los servicios de emisión de Constancias de Conservación de Mensajes de Datos, adicionalmente incursiona en el servicio de Digitalización de Documentos en Soporte Físico, ambos servicios cumplen con la Norma Oficial Mexicana NOM-151 SCFI-2016. Dichos servicios están basados en el uso de Criptografía de clave privada y fuentes de tiempo confiable. También incursiona en la certificación para poder emitir Sellos Digitales de Tiempo.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación iniciará operaciones a más tardar en 30 días hábiles a partir de la fecha en que la Secretaría de Economía publique en el DOF la acreditación de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación como Proveedor autorizado para emitir Constancias de Conservación de Mensaje de Datos. La fecha de inicio de operaciones es el día DD-MM-AAAA.

2. Objetivo y Alcance

Objetivo

La presente Declaración de Prácticas de la Autoridad de Constancias de Conservación de Mensajes de Datos, tiene como objetivo dar a conocer los procedimientos aplicables, las responsabilidades y obligaciones del prestador del servicio y de los usuarios/cliente, así como las medidas de seguridad y controles aplicables al servicio de emisión de Constancias de Conservación de Mensajes de Datos de conformidad con la NOM-151-SCFI-2016, para que sean usados por los clientes y con ello generar su confianza y la de terceros en la operación del servicio,

Alcance

La presente Declaración de Prácticas aplica a todos los clientes y terceros que confían y que contratan a la Autoridad de Constancias de Conservación de Mensajes de

Datos de conformidad con la NOM-151-SCFI-2016 e incluye procedimientos de operación, responsabilidades, obligaciones, controles y medidas de seguridad aplicados por ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación. La Constancia de Conservación de Mensaje de Datos de conformidad con la NOM-151-SCFI-2016 es de observancia general para los comerciantes que conforme a lo establecido en los artículos 33, 34, 38 46 bis, 49 y 89 del Código de Comercio requieran conservar mensajes de datos.

3. Definiciones y Acrónimos.

4. Nombre e identificación del documento

El presente documento es denominado Declaración de Prácticas de Constancias de Conservación de Mensajes de Datos de Alfredo Bázua Witte Notario 230 de la CDMX

Prestador de Servicios de Certificación.

4.1  Consulta de Información

La Autoridad de Constancias de Conservación de Mensajes de Datos es responsable de poner a disposición del público en general la Declaración de Practicas de Conservación de Mensajes de Datos a través de su portal en internet https://psc.notaria230.com.mx

5. Participantes en el servicio de emisión de Constancias de Conservación de Mensajes de Datos.

6. Administración del Documento

6.1   Administradores del Documento

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación en su carácter de Autoridad de Constancias de Conservación de Mensajes de Datos administra y actualiza la presente Declaración de Prácticas a través de su Profesional Jurídico, el Profesional y el Auxiliar Informático.

Si los cambios a la Declaración de Prácticas son tipográficos se efectuarán sin previo aviso a la Secretaría de Economía.

Si los cambios a la Declaración de Prácticas son de contenido, se solicitará autorización a la Secretaría de Economía y se publicarán dentro de los 5 días hábiles posteriores a la autorización respectiva.

6.2  Contacto

Para realizar comentarios, dudas u observaciones referentes a la presente Declaración de Prácticas, se debe dirigir con el Profesional Jurídico o el Profesional Informático de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Domicilio:

Bosques de Ciruelos 255 Col. Lomas de Chapultepec Cd. de México

• Responsables de verificar la concordancia entre la Política y la Declaración de Prácticas.

La Autoridad de Constancias de Conservación de Mensajes de Datos asigna al profesional jurídico y al profesional informático, como responsables de verificar la concordancia plena entre la Política y la Declaración de Prácticas.

6.4  Publicación de la Declaración de Prácticas

La presente Declaración de Prácticas de la Autoridad de Constancias de Conservación de Mensajes de Datos se publica en el sitio de internet de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación. http://psc.notaria230.com.mx

7. Conceptos Generales

7.1.   Servicios de Constancias de Conservación de Mensajes de Datos NOM-151-SCFI–2016

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, proporciona el servicio de emisión de Constancias de Conservación de Mensaje de Datos. El propósito de una Constancia de Conservación de Mensaje de Datos NOM- 151SCFI-2016 es de observancia general para los comerciantes que conforme a lo establecido en los artículos 33, 34, 38 46 bis, 49 y 89 del Código de Comercio requieran conservar mensajes de datos. Los servicios de Constancias de Conservación de Mensaje de Datos se subdividen en:

• Emisión de la CCMD NOM-151-SCFI-2016, que genera propiamente la Constancia de Conservación de Mensajes de Datos
• Verificación de la Autenticidad de la CCMD NOM-151-SCFI-2016, que permite al cliente o un tercero que confía validar que una CCMD es auténtica.
• Extensión de la Vigencia de una CCMD NOM-151-SCFI-2016, que permite extender la vigencia de una CCMD
• Verificación de una CCMD conformada por más de un SDT, que permite al cliente o tercero que confía validar que una CCMD con más de un SDT es auténtica.
• Administración de las Constancias de Conservación de Mensaje de Datos, que es el servicio que permite monitorear y controlar la operación de la emisión de CCMD NOM-151-SCFI-2016, para asegurar que el servicio se ofrece según lo especificado en la NOM-151

7.2.   Autoridad de Constancias de Conservación de Mensaje de Datos

Autoridad de Constancias de Conservación de Mensaje de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, es responsable de los servicios de emisión, extensión, validación y administración de las CCMD.

Autoridad de Constancias de Conservación de Mensaje de Datos Alfredo Bazúa Witte Notario 230 de la CDMX, obtiene la transferencia segura de la escala de tiempo, Tiempo Universal Coordinado (UTC) para cada una de las dos USDT. Para tal efecto tiene celebrado un contrato de dos enlaces (uno para cada centro de datos) con el Centro Nacional de Metrología CENAM para sincronizar los relojes de sus USDT.

7.3.   Clientes o Suscriptores

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación reconoce como Cliente o suscriptor a una Persona Física o Moral que requiere de los servicios de emisión de Constancias de Conservación de Mensajes de Datos, entendiéndose por esto que requiere conforme a lo establecido en los artículos 33, 34, 38 46 bis, 49 y 89 del Código de Comercio generar evidencia de que un mensaje de datos existía antes de una fecha y hora especifica.

Cuando se trata de una Persona Moral, las obligaciones contraídas tendrán que aplicarse también a los usuarios finales. En todo caso la Persona Moral seguirá siendo responsable del cumplimiento de las obligaciones de los usuarios finales.

Cuando se trata de una Persona Física, esta será responsable del cumplimiento de sus obligaciones.

7.4.   Política de Constancias de Conservación de Mensaje de Datos y declaración de prácticas de ACCMD

• Propósito

Esta política tiene como propósito establecer los lineamientos que debe cumplir la Autoridad de Constancias de Conservación de Mensaje de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación para proporcionar el servició de emisión de Constancias de Conservación de Mensaje de Datos NOM-151SCFI-2016, así como las obligaciones de los clientes o subscriptores.

7.4.2   Nivel de Especificación

La política de la Autoridad de Constancias de Conservación de Mensaje de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, debe definir obligaciones, reglas y responsabilidades, que aplican a los activos, la organización y los procedimientos para prestar el servicio de emisión de Constancias de Conservación de Mensaje de Datos.

En contraste la Declaración de Practicas de Autoridad de Constancias de Conservación de Mensaje de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, detalla las condiciones en la que la operación se debe llevar a cabo, es decir hace cumplir los lineamientos que se definieron en la política.

7.4.3   Enfoque

La política de la Autoridad de Constancias de Conservación de Mensaje de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, es por definición independiente de los medios y omite detalles específicos del ambiente operativo, mientras que la Declaración de Practicas está hecha a la medida de la estructura organizacional, los procedimientos operativos, las instalaciones y la estructura tecnológica empleada para proporcionar el servicio de emisión de Constancias de Conservación de Mensaje de Datos.

8. Declaración de Practicas

8.1  Perspectiva General

La declaración de Prácticas de la autoridad de Constancias de Conservación de Mensajes de Datos contiene una descripción de los procedimientos para proporcionar y administrar los servicios de emisión de Constancias de Conservación de Mensajes de Datos. A través de este documento se hacen cumplir las reglas, obligaciones y las responsabilidades establecidas en la Política de Constancias de Conservación de Mensajes de Datos de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

8.2  Identificación

El objeto identificador de la Política de Constancias de Conservación de Mensajes de Datos NOM-151-SCFI-2016, de acuerdo con el documento de “Árbol de identificación de Objetos (OIDs) emitido por la Dirección General de Normatividad Mercantil, Dirección de Regulación y Supervisión de los Prestadores de servicios de certificación es:

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación incluye el identificador de la Política de Constancias de Conservación de Mensajes de Datos NOM-151-SCFI-2016 en la Declaración Pública de Prácticas con el objeto de estar a disposición de los clientes y los terceros que confían.

Identificador de la Declaración de Prácticas

El objeto identificador de la Declaración de Prácticas de la Autoridad de Constancias de Conservación de Mensajes de Datos de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación es:

Identificador para el nombre de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación

El objeto identificador para el nombre de la Autoridad de la Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación es:

8.3  Comunidad de Usuarios y Aplicabilidad

La Declaración de Prácticas de la Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación está dirigida a cumplir los requerimientos establecidos para brindar el servicio de emisión de Constancias de Conservación de Mensajes de Datos NOM-151- SCFI-2016 que ofrece como Prestador de servicios de certificación.

El servicio de emisión de Constancias de Conservación de Mensajes de Datos está disponible para personas físicas y morales que requieran conservar mensajes de datos.

La Norma Oficial Mexicana NOM-151-SCFI-2016 prevé la posibilidad de que se conserven los mensajes de datos y puedan ser almacenados en medios electrónicos con idéntico valor probatorio que sus originales.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación operará como Prestador de Servicios tras haber recibido la pertinente acreditación de la Secretaría de Economía, ejerciendo como tal en aquellos procesos de Constancias de Conservación de Mensajes de Datos para los que sea requerido.

La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, ofrecerá los servicios de emisión de CCMD para que sean consumidos por:

• Clientes
• Terceros que confían
• Los servicios de Digitalización de Documentos en Soporte Físico (NOM-151- SCFI-2016) Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación

8.4  Conformidad

Las Constancias de Conservación de Mensajes de Datos que expide la Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, cumplen con lo establecido por la NOM-151-SCFI-2016 y con el estándar internacional Internet X.509 “Public Key Infrastructure Time Stamp Protocol” y los RFC3628 y RFC3161

La Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, sincroniza el tiempo UTC con el CENAM (Centro Nacional de Metrología) para emitir Constancias de Conservación de Mensajes de Datos.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación operará como Prestador de Servicios tras haber recibido la pertinente acreditación de la Secretaría de Economía, utilizará el identificador objeto identificador de la Política de Constancias de Conservación de Mensajes de Datos en las Constancias de Conservación de Mensajes de Datos que emita

Para demostrar conformidad, la Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX, deberá:

1. Cumplir con la NOM-151-SCFI-2016
2. Cumplir con las obligaciones definidas para una USDT
3. Implementar los controles que cumplan con los requerimientos especificados para una USDT
4. Cumplir con el estándar RFC3161
5. Cumplir con las obligaciones aplicables del Título SEPTIMO de las Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación, publicadas el 14 de Mayo de 2018 en el Diario Oficial de la Federación.

9.  Obligaciones y Responsabilidades

9.1 Obligaciones de la ACCMD

• General

La ACCMD se asegura de que todos los requisitos, como se detalla en los requerimientos y prácticas se implementen según corresponda a la presente Declaración de Practicas de Constancias de Conservación de Mensajes de Datos.

La ACCMD garantiza la conformidad con los procedimientos prescritos en esta Declaración de Practicas, y también garantizará el cumplimiento de cualquier obligación adicional indicada en esta misma.

9.1.2   Obligaciones hacia los Clientes o Suscriptores

• Asegurar el cumplimiento de los procedimientos descritos en la presente

Declaración de Prácticas ejecutando los procesos de auditoría.

• Proporcionar todos sus servicios en forma consistente y como lo establece en su Declaración de Prácticas.

• Proveer a clientes o suscriptores y terceros que confían, la información necesaria sobre los términos y condiciones con respecto al uso del servicio de Emisión de Constancias de Conservación de Mensajes de Datos a través del Contrato de Prestación de Servicios y el Aviso de Privacidad.

• Al recibir y archivar los datos personales de los solicitantes de Emisión de Constancias de Conservación de Mensajes de Datos, la Autoridad de Constancias de Conservación de Mensajes de Datos, se comprometen a

guardar y cumplir estrictamente con las disposiciones contenidas en la fracción II del inciso A) del Art. 102, fracción V y VII del Art. 104 del Código de Comercio; y último párrafo de la fracción III del Art. 5, fracción VII y VIII del Art. 27 del Reglamento del Código de Comercio en Materia de Prestadores de Servicios de Certificación sobre la seguridad de la información y confidencialidad de datos personales, de acuerdo a lo anterior, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación en su carácter de Autoridad de Constancias de Conservación de Mensajes de Datos garantiza el estricto cumplimiento en materia de seguridad y confidencialidad por parte del personal que interviene en el proceso.

• En el caso de cesar en su actividad, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deberá comunicarlo a la Secretaría de Economía a fin de determinar, conforme a lo establecido en las reglas generales expedidas, el destino que se dará a sus registros y
• Establecer declaraciones sobre sus normas y prácticas, las cuales harán del conocimiento del usuario y el

• Con respecto de los activos críticos para prestar el servicio de Emisión de Constancias de Conservación de Mensajes de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deberá:
  1. Contar con la infraestructura que sea redundante, que brinde alta disponibilidad y acceso permanente al servicio de Emisión de Constancias de Conservación de Mensajes de Datos.
  2. Asegurar la correcta sincronización de los relojes de los sistemas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y de la USDT con el CENAM
  3. Mantener constante vigilancia sobre el rendimiento, comportamiento, SLAs,y estatus de la relación contractual con los proveedores de acuerdo con la Política para las relaciones con los proveedores y en particular con:
  4. El Proveedor Socio Tecnológico Axtel en donde se tienen contratados los dos centros de datos Querétaro (Primario) Monterrey (Secundario), así como los enlaces de Internet
  5. El Proveedor Socio Tecnológico Cega Security sobre el mantenimiento y garantía de los dispositivos modulo criptográfico HSM-TSA

4. Licenciamiento y actualizaciones de todo el software involucrado en el servicio de Emisión de Constancias de Conservación de Mensajes de Datos:
5. Sistemas Operativos
6. Antivirus
7. Sistemas de Detección de Intrusos
8. Virtualización
9. Bases de Datos
10. Firewall

5. Monitoreo y mantenimiento de la infraestructura necesaria para laEmisión de Constancias de Conservación de Mensajes de Datos:

a.HSM-TSA

1. Servidores
2. Plataforma de Virtualización
3. Conectividad, enlaces, switches, routers
4. Firewall
5. Utilización del ancho de banda
6. Utilización de los recursos de la unidad de almacenamiento NAS
7. Servidor de bases de datos
8. Logs de sistema
9. Atender los incidentes de seguridad de acuerdo con la Política de Atención de Incidentes de Seguridad
10. Asegurar el óptimo funcionamiento de la infraestructura, activos críticos (Ver Anexo A) y recursos necesarios para prestar el servicio de Emisión de Constancias de Conservación de Mensajes de Datos

9.1.3 Inicio de Operaciones

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, identifica que la Secretaría de Economía ha publicado en el DOF la acreditación de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación como Proveedor autorizado para emitir Constancias de Conservación de Mensajes de Datos, en la fecha DD-MM-YYYY, por lo que inicia operaciones el día DD-MM-YYYY.

9.2 Obligaciones de los Clientes o Suscriptores

• El Cliente debe resguardar sus claves de acceso al servicio de Emisión de Constancias de Conservación de Mensajes de Datos.

En materia de Constancias de Conservación de Mensajes de Datos, seráresponsabilidad estricta del cliente mantener bajo su control, el acceso y resguardo directo de las Constancias de Conservación de Mensajes de Datos, a fin de que su ulterior consulta pueda llevarse a cabo en cualquier momento.

9.3 Obligaciones de los Clientes y Terceros que Confían

Cuando se utilice una Constancia de Conservación de Mensajes de Datos se deberá:

• Verificar que la Constancia de Conservación de Mensajes de Datos ha sido correctamente firmada y que la llave privada utilizada para firmar la Constancia de Conservación de Mensajes de Datos no ha sido comprometida hasta el día de la verificación. Para este efecto el Cliente o Tercero que confía puede checar el estatus derevocación de la clave pública Certificado Digital de la ACCMD.

Tomar en cuenta las limitaciones sobre el uso de las Constancias de Conservación de Mensajes de Datos indicadas en la presente Declaración de Practicas.

Tomar en cuenta cualquier otra precaución dada a conocer por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación

Conocer y aplicar en su caso la Declaración de Prácticas de Constancias de Conservación de Mensajes de Datos.

9.4 Responsabilidad de la ACCMD

La responsabilidad de la Autoridad de Constancias de Conservación de Mensajes de

Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de

Certificación está limitada exclusivamente a proveer el servicio de emisión de

Constancias de Conservación de Mensajes de Datos, y los servicios de verificación y

extensión de las mismas, de acuerdo con lo establecido en la Política, Declaración de

Prácticas, lo establecido y el estándar internacional Internet X.509 Public Key

Infraestructura Timestamp” y con los RFC3628 y RFC3161.

9.4.1 Responsables de los activos críticos y su mantenimiento.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación responderá por las irregularidades que ocasione siempre y cuando se compruebe que el acto originador de la irregularidad sea, una conducta negligente o culposa llevada a cabo por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación en el proceso de Emisión de Constanclas de Conservación de Mensajes de Datos.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación no será responsable de manera enunciativa más no limitativa en los siguientes casos:

• Por los daños y/o perjuicios que se causen, si el cliente entrega datos y/o documentos falsos, para la obtención de Constancias de Conservación de Mensajes de Datos.

9.4.2 Responsabilidades del personal de la ACCMD

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación como Prestador de Servicios de Certificación cuenta con el personal que cumple con lo especificado en las reglas Generales a las que deberán sujetarse los prestadores de servicios de certificación conforme a las Reglas Generales a las que deben sujetarse los PSC, dichos roles son los siguientes:

Profesional Jurídico

Responsable de establecer el contrato marco con Personas Físicas o Morales para la prestación del servicio de Emisión de Constancias de Conservación de Mensajes de Datos a solicitud de los clientes o suscriptores.

Profesional Informático

Es responsable de diseñar, implementar y mantener actualizados los sistemas de cómputo y comunicaciones (hardware y software) necesarios para operar el servicio de Emisión de Constancias de Conservación de Mensajes de Datos.

Auxiliar de Apoyo Informático de Seguridad

Es responsable de ejecutar el sistema de gestión, planes, políticas, procedimientos y prácticas de seguridad, ver archivos y registros de auditoría de los sistemas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y verificar el cumplimiento de la normatividad establecida por las funciones que desempeña depende del Profesional Informático.

Además, cuenta con los roles de:

Dirección General

Responsable de la dirección estratégica de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Gerente de Seguridad de la Información

Responsable de establecer e implementar políticas relacionadas con la seguridad de la información.

Ingeniero Sr HW, Redes y Soporte Técnico

Responsable de diseñar o participar en el diseño de redes internas y conexiones con redes externas, entre otras responsabilidades

Ingeniero Sr Administrador de Sistemas /Bases de Datos

Responsable de instalar, configurar y gestionar bases de datos, entre otras responsabilidades.

Responsable de Recursos Humanos

Responsable de establecer y mantener un proceso seguro para la contratación del personal, entre otras responsabilidades.

Agente Comercial

Responsable de atender las necesidades de los clientes, de formalizar la contratación de la prestación del servicio de Emisión de Constancias de Conservación de Mensajes de Datos y de tramitar su incorporación al sistema. Para la función de formalizar la contratación de prestación del servicio de Emisión de Constancias de Conservación de Mensajes de Datos depende del Profesional Jurídico

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, ofrece el detalle de las responsabilidades de su personal en la siguiente Matriz de Roles y Responsabilidades:

10. 10. Requisitos de las Practicas de la ACCMD

10.1 Declaración de las prácticas y Declaración Pública de la ACCMD

10.1.1 Declaración de las prácticas de la ACCMD

La Declaración de Prácticas de Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, asegura que se cuenta con la confiabilidad necesaria para proporcionar el servicio de Emisión de Constancias de Conservación de Mensajes de Datos a través de:

El Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación ha desarrollado un Análisis y Evaluación de Riesgos y Amenazas, que forma parte de la documentación para acreditarse como prestador de servicios de certificación y como se especifican en las Reglas asas que deberán sujetarse los prestadores de servicios de certificación, regla 144. En este Análisis

se describen los activos críticos, los riesgos y amenazas y los controles para aceptar el riesgo.

• La Políticas de Seguridad de la Información de Alfredo Bazúa Witte Notario 230de la CDMX Prestador de Servicios de Certificación establecen controles para la contratación de los socios tecnológicos y en particular lo describe la Política para las relaciones con los Proveedores.
• La Declaración de Prácticas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación aborda los elementos descritos en la regla 163 de las Reglas a las que deberán sujetarse los prestadores de servicios de certificación.
• La Declaración de Prácticas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación establece las obligaciones de los socios tecnológicos.
• La Secretaria de Economía es la encargada revisar y aprobar toda la documentación relacionada a la acreditación de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, como prestador de servicios de certificación.
• Cualquier cambio que modifique la infraestructura o el modelo operacional de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, será notificado a la Secretaria de Economía.
• Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación expone en su sitio web https://psc.notaria230.com.mx la versión pública de su Declaración de Prácticas de Constancias de Conservación de Mensajes de Datos y la Políticas de Constancias de Conservación de Mensajes de Datos, para que pueda ser consultada por sus clientes o terceros que confían.
• Esta Declaración de Practicas tiene un calendario de revisión y actualización para mantener las políticas y la declaración de prácticas actualizadas.

10.1.2 Declaración Pública de la ACCMD

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación da a conocer a todos sus clientes y terceros que confían las versiones públicas de su Política de Constancias de Conservación de Mensajes de Datos,Declaracón de Prácticas de Constancias de Conservación de Mensajes de Datos y el aviso de privacidad en el sitio web https://psc.notaria230.com.mx

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación establece que, para prestar el servicio de Emisión de Constancias de Conservación de Mensajes de Datos, proporcionará lo siguiente:

• Contrato de Prestación de Servicios

• Versión publica de la Política de Constancias de Conservación de Mensajes de Datos, Declaración de Prácticas de Constancias de Conservación de Mensajes de Datos y el aviso de privacidad en el sitio web https://psc.notaria230.com.mx Aviso de Privacidad
• Información de contacto de las oficinas ubicadas en Bosque de los Ciruelos 255,Bosque de las Lomas, Miguel Hidalgo, 11700 Ciudad de México, CDMX.
• En cada Constancia de Conservación de Mensajes de Datos se especifica la función de digestión empleada para obtener el hash del mensaje de datos, esta es SHA-256
• Las limitaciones del servicio de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador
• Establece los mecanismos para emitir Constancias de Conservación de Mensajes de Datos en conformidad con la RFC 3628 y con una exactitud menor a un segundo con respecto del Centro Nacional de Metrología CENAM y se compromete a no emitir Constancias de Conservación de Mensajes de Datos fuera de la exactitud declarada.
• En esta Declaración de Practicas se especifican las obligaciones de los suscriptores, y terceros que confían.
• Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, pone a disposición de los suscriptores y terceros que confían el sitio web https://psc.notaria230.com.mx para que estos puedan validar la Constancia de Conservación de Mensajes de Datos.
• El período de conservación de los datos y la documentación que se genera de la prestación del servicio de Constancia de Conservación de Mensajes de Datos se conservará por un periodo de 10 años.
• Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, declara que el Procedimiento para Reclamos y Resolución de disputas se efectuará directamente con el profesional jurídico.

10.2 Ciclode Vida de la Administración de Claves

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación usa una clave pública y una clave privada en cada USDT para brindar el servicio de Emisión de Constancias de Conservación de Mensajes de Datos, las cuales tienen un ciclo de vida comprendido desde su generación, la protección o resguardo, su distribución, la renovación y fin del ciclo de vida o destrucción. El ciclo de vida es de diez años y se describe a continuación:

10.2.1 Generación de Claves de la ACCMD

Las claves privadas son usadas exclusivamente para firmar las Constancias de Conservación de Mensajes de Datos se resguardan en Hardware Security Modules (HSM) (Engage Black Vault HSM-TSA) que han sido certificados independientemente y que cumplen con el FIPS 140-2 nivel 3 y han sido debidamente probado antes de iniciar el procedimiento de generación de claves en presencia de la Secretaría de Economía.

La generación de claves se lleva a cabo en un ambiente físicamente seguro por personal de confianza que cuenta con control mancomunado a través de tarjetas inteligentes.

10.2.1.1 Elementos de seguridad para la Firma Electrónica

La firma electrónica de la Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación,será utilizada exclusivamente para firmar Constancias de Conseryación de Mensajes de Datos. Por la importancia que tienen, Alfredo Bazúa Witte Notario 230de la CDMX Prestador de Servicios de Certificación cuenta con dispositivos HSM (Hardware Security Module) para salvaguardar la integridad, confidencialidad disponibilidad de la Clave Privada y para la ejecución de funciones criptográficas asociadas a ella.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con manuales en los que establece las reglas de seguridad para la operación.

• Política de Seguridad de la Información,
• Política y Procedimiento de Seguridad Física.
• Política de Uso y Protección de Llaves Criptográficas

10.2.2 Protección y resguardo de las Claves Privadas de la ACCMD

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación mantiene las claves privadas en los Hardware Security Module (HSM) certificados independientemente FIPS 140-2 nivel 3, El sistema del HSM se mantiene en instalaciones físicamente seguras en los centros de datos de Axtel, en los cuales el acceso está protegido por mecanismos de control de acceso. Las claves privadas se deben administrar conforme a lo establecido en el “Plan de Administración de Claves”.

• En caso de sospecha o compromiso de la clave privada Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, pondrá a disposición de sus Clientes y Terceros que Confían una explicación del evento ocurrido y las acciones a

seguir, previo acuerdo con la Secretaría de Economía. Los medios de comunicación serán la página WEB de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, teléfono y/o correo electrónico de los clientes.

10.2.3 Distribución de las Claves Públicas de la ACCMD

Los certificados digitales de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación se publican en su sitio de internet https://psc.notaria230.com.mx y en el de la Secretaría de Economía. Esto permite a los clientes y Terceros que Confían poder verificar la integridad y la autenticidad de las Constancias de Conservación de Mensajes de Datos emitidas por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Los servidores web en donde se publican los certificados digitales de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, se encuentran hospedados en los centros de datos de Axtel y están protegidos por firewall, y sistemas de detección de intrusos.

10.2.4 Renovación de las Claves Criptográficas de la ACCMD

El Certificado de las USDT de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación no será utilizado más allá del período de tiempo que el algoritmo de firma y la longitud de la clave elegida se reconozca que siguen siendo confiables para la Emisión de Constancias de Conservación de Mensajes de Datos de acuerdo con organismos internacionales en la materia. De igual forma no será utilizado más allá del periodo de vigencia del mismo certificado ni después de que éste, en su caso, sea revocado. En cualquiera de estas condiciones se debe expedir nuevas claves de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación e incorporarlas al ambiente productivo.

10.2.5 Fin del Ciclo de Vida de las Claves de la ACCMD

Las claves privadas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación no se deben utilizar después de su vida útil; para ello se tienen los procedimientos operacionales y técnicos para renovar las claves antes de que éstas expiren o cuando se considere que se ha comprometido la confidencialidad de su clave privada.

Las claves privadas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación serán destruidas de tal forma que las claves privadas no puedan ser recuperadas.

El sistema cliente de solicitud de Constancias de Conservación de Mensajes de Datos tiene la capacidad de identificar y rechazar cualquier intento de emisión de Constancia de Conservación de Mensajes de Datos cuando haya expirado la vigencia de la clave privada con la que firma.

10.2.6 Administración del Ciclo de Vida del Módulo Criptográfico Usado para Firmar las Constancias de Conservación de Mensajes de Datos.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación garantiza la seguridad del hardware criptográfico para la administración, almacenamiento y uso de sus claves privadas. Como parte de la administración del ciclo de vida de los módulos criptográficos, como se describe en los siguientes puntos:

10.2.6.1 Adquisición

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con un Módulo Criptográfico que provee una empresa reconocida a nivel internacional Engage Black (https://www.engageblack.com/company/abouc engage-black)a través de  SU socio  en México Cega Security (https://cegasecurity.com/) y con experiencia en dispositivos criptográficop compatibles con el FIPS 140-2 Nivel 3. Durante la adquisición fueron revisados los contenedores de los dispositivos para asegurar que estuvieran sellados y que no hubiera algún intento de acceso a los mismos.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación se encarga de verificar que el hardware criptográfico que se usa para el servicio de Emisión de Constancias de Conservación de Mensajes de Datos no ha sido forzado durante el traslado a las instalaciones del centro de datos.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación se asegura que el hardware criptográfico sea resguardado durante el tiempo que permanezca almacenado en las instalaciones de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, conforme a las medidas de seguridad físicas existentes, aún antes de entrar en producción.

10.2.6.2 Instalación, iniclalización y configuración

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación en  esta etapa: 1)Asegura que la instalación de Engage Black Vault HSM-TSA se realiza en los Centros

de Datos de Axtel los cuales tienen niveles de seguridad adecuados para este proceso.

2) Asegura que en los procesos inicialización y configuración del módule-criptográfico participen el Director General Alfredo Bazua Witte Notario 230 de lg CDMX,el Profesional Jurídico y el Profesional Informático para la asignación y uso de.las tarjetas inteligentes de administración y operación del módulo criptográfico de acuerdo con procedimiento interno que se encuentre establecido para este fin.

3) Las tarjetas inteligentes se usan de forma mancomunada y se encuentran resguardas bajo llave, en la caja fuerte en instalaciones separadas con acceso exclusivo de cada uno de los depositarios.

10.2.6.3 Operación

Las USDT que conforman a la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación utilizan el hardware criptográfico Engage Black Vault HSM-TSA, para la emisión y firmado de Constancias de Conservación de Mensajes de Datos.

Para garantizar la continuidad en la operación, ante alguna contingencia, además de contar con una configuración redundante en dos centros de datos, se cuenta con un contrato de mantenimiento y de soporte con el proveedor de los equipos Cega Security.

Se cuenta con un contrato con el Centro Nacional de Metrología CENAM para sincronizar los relojes de la USDT. Los contratos celebrados con los diferentes proveedores que participan en el proceso de emisión de SDT se encuentran en la documentación proporcionada a la Secretaría de Economía.

Por otro lado, cuando se tenga contemplado actualizar el software, firmware y hardware para el dispositivo criptográfico que resguarda las claves de las instancias de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, se procederá a realizar las actualizaciones en las USDT en uno de los dos Centros de Datos y una vez comprobado el correcto funcionamiento de este en producción, se procederá a la actualización de la USDT en el otro Centro de Datos.

10.2.6.4 Mantenimiento

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador, de Servicios de Certificación tiene establecido con el proveedor de los equipos USDT Cega Security, un contrato que contempla soporte, actualizaciones de firmware, software y mantenimiento

correctivo que incluye la reparación o sustitución en caso de falla de algún componente.

10.2.6.5 Desecho

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación considera la destrucción de tarjetas inteligentes en caso de falla, cuando una tarjeta inteligente llegase a fallar para la administración u operación de las USDT para asegurar de esta forma, que los datos para la administración u operación de las USDT no sean accedidos.

La Autoridad de Constancias de Conservación de Mensajes de Datos de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación rechaza las peticiones de Emisión de Constancias de Conservación de Mensajes de Datos, cuando el Certificado Digital sea revocado.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación desincorpora de producción las claves criptográficas cuando haya concluido la vigencia del Certificado Digital de alguna USDT.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación asegura que después de la desincorporación de las claves criptográficas de alguna USDT no puedan ser accedidas ni usadas para ningún propósito diferente al menos que se requiera para aclaración de alguna controversia eliminando de forma permanente la clave privada que corresponda y resguardando la clave pública.

10.3 Constancias de Conservación de Mensajes de Datos

10.3.1 Constancia de Conservación de Mensajes de Datos

10.3.1.1Objetivo

Emitir Constancias de Conservación de Mensajes de Datos en apego a la NOM-151-SCFI-2016, bajo el estándar internacional Internet X.509 “Public Key Infrastructure Timestamp” RFC 3161 y con el RFC3628, para vincular mensajes de datos a una fecha y hora en particular, generar evidencia que de dichos mensajes existieron antes de la citada fecha y hora y garantizar la integridad del mensaje a través de tiempo.

10.3.1.2 Propósito

Establecer los mecanismos para que se pueda certificar y demostrar que un mensaje de datos existió en un momento muy específico en el tiempo y así contar con una evidencia legal que permita validar la existencia e integridad de mensajes de datos a

partir de la fecha y hora contenidos en una Constancia de Conservación de Mensajes de Datos asociado a dicho mensaje de datos.

De esta forma, este servicio puede ser usado, además, por otros servicios de certificación como es la Digitalización de Documentos en Soporte Físico.

10.3.1.3 Alcance

Las Constancias de Conservación de Mensajes de Datos son interoperables con aquellas aplicaciones (software) que cumplen con el estándar internacional Internet X.509 “Public Key Infrastructure Time Stamp” y con los RFC3628 y RFC3161.

Su ámbito de aplicación se extiende a todos los sectores que desean incorporar a sus procesos una Constancia de Conservación de Mensajes de Datos, como lo marca el campo de aplicación de la NOM-151-SCFI-2016 y ser de observancia general para los comerciantes que conforme a lo establecido en los artículos 33, 34,38,46 bis, 49 y 89del Código de Comercio que conserven mensajes de datos.

10.3.1.4 Límites de uso

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, presta el servicio con apego a lo establecido en el Código de Comercio, leyes aplicables, circulares y demás disposiciones que permitan su uso en los procesos en los que se desee conservar un mensaje de datos.

Este servicio puede será usado, además, por otros servicios de certificación como es la Digitalización de Documentos en Soporte Físico, certificación que también persigue Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

10.3.1.5 Información de los CCMD

La información que contiene una CCMD es:

1. Versión del Sello Digital de Tiempo
2. Identificador de la Política de la CCMD
3. Huella Digital Electrónica que se obtiene de la solicitud
4. Numero serial único que identifica al sello digital de tiempo
5. Función de digestión empleada (SHA 256) sobre el mensaje de datos
6. Tiempo (YYYYMMDDhhmmss)
7. Extensiones para aquellos casos en que se trate de refrendos de una constancia
8. Firma electrónica de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación,

10.3.2 Sincronización del Reloj de la USDT con el UTC

Las USDT están situadas en un área de alta seguridad en los Centros de Datos donde se hospedan los sistemas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación con el propósito de proteger el acceso no autorizado a los sisternas.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación compara permanentemente la señal de tiempo del UTC, A través de un protocolo seguro para la sincronización de Tiempo y en caso de identificar una desviación mayor de +1 segundo Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación dejará de emitir Constancias de Conservación de Mensajes de Datos hasta que re-sincronice los relojes. Para sincronizar los relojes, recibe la información del tiempo del CENAM y calibra el sistema de reloj de las USDT.

La sincronización se realiza a través de un protocolo seguro de comunicaciones y los equipos del CENAM. El NTP se hace sobre redes privadas virtuales (VPN) para autenticación mutua entre el CENAM y Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y para cifrar el canal de comunicación entre éstos. La autenticación mutua, así como el cifrado del canal de comunicación hace técnicamente imposible un ataque informático de suplantación de identidad que pueda desviar la sincronización de tiempo de la fuente de tiempo oficial del CENAM.A través de este protocolo seguro de comunicación se proveen vínculos seguros y rastreables hacia la fuente del CENAM que proporciona el tiempo oficial.

EI TAC (Time Atribute Certificate) que proporciona el reloj del CENAM y que resguarda la Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación brinda un periodo de tiempo en el cual se considera que el reloj de las USDT es correcto y preciso Dicho periodo de tiempo depende de la configuración del reloj del CENAM.

En caso de que el último TAC recibido por una USDT venza su periodo de vigencia sin recibirse uno nuevo, dicha USDT dejará de sellar digitalmente en el tiempo hasta que reciba un nuevo TAC que evidencie la sincronización de tiempo respecto ala del CENAM.

Para casos de contingencia que impida al CENAM brindar su servicio de sincronización de tiempo a través del NTP y con el objetivo de brindar continuidad en el servicio de Emisión de Constancias de Conservación de Mensajes de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deberá acordar formalmente con la Secretaría de Economía el procedimiento a seguir.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación mantiene registro de los TAC (Time Attribute Certificate) que garantizan que se ha tomado una fuente valida y confiable de tiempo del CENAM. Los TAC que se generan cada vez que la fuente de tiempo del CENAM verifica que las USDT de Alfredo Bazuc Witte Notario 230 de la CDMX Prestador de Servicios de Certificación esten sincronizadas, dejan rastreabilidad de la sincronización de tiempo.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación mantiene registros de todos los eventos referentes a la sincronización de los relojes,sean estos generados por el proceso de verificación del CENAM indicado en el párrafo anterior o por las USDT de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación por eventos tales como reinicio de equipos o eventos que obliguen este proceso.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación mantiene como registros de la sincronización de tiempo de sus USDT con el provisto con el CENNAM, los TACs y bitácoras que generan las mismas USDT derivado del proceso de sincronización.

Los sistemas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación ajustan automáticamente sus relojes y mantienen la sincronización del reloj cuando ocurre un segundo intercalar. Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación registra el tiempo exacto (dentro de la exactitud declarada) cuando ha ocurrido este cambio.

10.4 Administración y Operación de la Autoridad de Constancias de Conservación de Mensajes de Datos

10.4.1 Administración de la Seguridad

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta internamente con una Política de Seguridad de la Información,una Política de Seguridad Física, así como un Sistema de Gestión de Seguridad de la Información establecidos de acuerdo con las mejores prácticas, que en su conjunto establecen:

1. Los lineamientos de seguridad de la información definidos por un Comité de Alta Dirección.
2. Los procedimientos operativos y controles de seguridad fisica y de la información de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

3. Las responsabilidades respecto a los servicios de Emisión de Constancias de Conservación de Mensajes de Datos.
4. Que cualquier modificación que altere el nivel de seguridad establecido deberá ser revisado y aprobado por los Profesionales Informático y Jurídíco de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Serviclos de Certificación.
5. La obligación de comunicación de la normatividad a todos los involucrados en la prestación de los servicios de Emisión de Constancias de Conservación de Mensajes de Datos.

10.4.2 Clasificación y Administración de Activos

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación realiza un análisis de riesgos en las diferentes etapas de desarrollo de este proyecto y lo ejecuta cada seis meses como parte del Plan de Seguridad de la Información y Sistemas, en el que actualiza el inventario de todos los activos. asignándoles una clasificación para la protección de estos consistente con dicho análisis y asegurando que cuenten con un nivel apropiado de protección y administración

10.4.2.1 Facilidades de monitoreo de los Activos

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta en su Centro Operativo con facilidades de monitoreo que le permiten verificar que:

1) Los equipos de comunicaciones como routers y switches se encuentran operando correctamente.

2) Los enlaces de comunicaciones se encuentran activos.

3) Los equipos de cómputo se encuentran operando correctamente

4) Las bases de datos se encuentran operando correctamente

Se cuenta con personal de monitoreo de los diferentes componentes de la infraestructura que:

• Verifican que el estado de las interfaces de red que se encuentran activas
• Verifican los servicios que permiten monitorear que los componentes sistémicos se encuentren operando de acuerdo con lo establecido.

• Revisan los Logs de la aplicación y equipos para verificar que los logs que generan en los sistemas no se presente alguna irregularidad en los mismos
• Revisan los recursos del Equipo. Para verificar que el espacio en disco duro y memoria se encuentra con un espacio disponible de acuerdo con las necesidades de operación y para verificar que los recursos de procesamiento se encuentren dentro de parámetros aceptables.
• Revisan Base de Datos SQL Server (Estado, Replicación) para verificar que los parámetros de sus recursos están acordes a la necesidad de almacenamiento y que sus procesos de replicación y de respaldo se encuentren operando de acuerdo con lo programado.
• Realizan actualizaciones del Antivirus (Kaspersky) para verificar que los antivirus instalados en la infraestructura se encuentran actualizados para mitigar el riesgo informático.

10.4.3 Seguridad del Personal

10.4.3.1 Perfil del personal responsable

El personal responsable de la Autoridad de Constancias de Conservación de Mensajes de Datos cuenta con el nivel de conocimientos y experiencia para administrar y mantener en óptimas condiciones la infraestructura de hardware y software mediante los cuales se proporciona el servicio de Emisión de Constancias de Conservación de Mensajes de Datos. Adicionalmente el personal cubre con los perfiles profesionales,certificaciones y experiencia que establecen para operar como Prestador de Servicios de Certificación.

10.4.3.2 Procedimiento de contratación del personal

La administración de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación verifica minuciosamente los antecedentes y conocimientos del personal que se contrata para efectos de la administración y mantenimiento de la infraestructura de hardware y software destinado para el servicio de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y cuenta para ello con un procedimiento para reclutar, seleccionar, evaluar y contratar al personal.

10.4.3.3 Requerimientos de capacitación

El personal asignado a la administración y mantenimiento de la infraestructura de hardware y software destinado para el servicio de Emisión de Constancias de

de capacitación y actualización de nuevas tecnologías, además quese les proporciona cursos para mantenerse actualizados.

10.4.3.4 Sanciones por Acciones no autorizadas.

El personal asignado a la administración y mantenimiento a infraestructura de hardware y software en caso de incumplimiento de responsabilidades podrá ser acreedor a sanciones que van desde una amonestación administrativa hasta rescindir el contrato laboral y en su caso las acciones legales que correspondan.

10.4.3.5 Controles sobre la contratación de personal

Los controles para contratar al personal de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, se describen en el Procedimiento  de Reclutamiento y Selección de Personal.

10.4.3.6 Roles de Confianza

La Autoridad de Constancias de Conservación de Mensajes de Datos de acuerdo conE las Reglas Generales a las que deben sujetarse los PSC, para la prestación del servicio de Emisión de Constancias de Conservación de Mensajes de Datos cuenta con los Roles de Confianza siguientes:

1. Un profesional informático.
2. Un profesional jurídico.
3. Un auxiliar del de apoyo informático de seguridad

Adicionalmente a lo establecido en las “Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación” para el desarrollo de sus funciones Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con el personal siguiente:

1. Ingeniero HW, Redes y Soporte Técnico
2. Ingeniero Administrador de Sistemas y DBA
3. Agente Comercial

Los roles de confianza de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación son designados formalmente por la Dirección General.

El personal a quién se asigna las funciones, cuenta con el conocimiento, experiencia y certificaciones necesarias que garantizan el cumplimiento eficiente y los -requerimientos de seguridad, para desempeñar sus funciones. Alfredo Bazúa Witte

Notario 230 de la CDMX Prestador de Servicios de Certificación para asignar roles de confianza asegura que dicho personal no cuenta con antecedentes penales.

El personal asignado en roles de confianza debe tener criterio de independencia, imparcialidad y de no conflictos de intereses que puedan perjudicar las operaciones de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

10.4.4 Seguridad Física y Ambiental

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con una Política y Procedimientos para prevenir el acceso físico no autorizado,los daños y la interferencia a la información de la organización y a las instalaciones, a través de:

• La protección de áreas donde se resguarda y/o procesa información sensible o crítica.
• Controles de entrada apropiados para garantizar que solo ingresa el personal autorizado.

10.4.4.1 Redundancia en Centros de Datos

La Autoridad de Constancias de Conservación de Mensajes de Datos cuenta con redundancia en configuración de alta disponibilidad en dos centros de datos

1. Centro de Datos principal

CARRETERA ESTATAL 431 A LOS CUES KM 2+200, LOTE 79, COL. HACIENDA LA MACHORRA,PARQUE TECNOLOGICO INNOVACION QUERETARO. EL MARQUEZ,QRO CP.76246, MÉXICO

2. Centro de Datos secundario
3. EUGENIO CLARIOND GARZA NO. 175 SAN NICOLAS DE LOS GARZA,MONTERREY NUEVO LEON. C.P. 66450, MÉXICO

Y cuenta con la infraestructura de cómputo y comunicaciones necesarios para la prestación del servicio, y con los elementos de seguridad que se establecen en el “Modelo Operacional de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación”, en la “Política de Constancias de Conservación de Mensajes de Datos”, la “Política de Seguridad de la Información” y la Política de Seguridad Física” que se proporcionan a la Secretaría de Economía como parte del proceso de acreditación como PSC para la Emisión de Constancias de Conservación de Mensajes de Datos mismos que se describen de forma general en la presente declaración.

10.4.4.2 Capacidad de los sistemas

La Autoridad de Constancias de Conservación de Mensajes de Datos, cuenta con infraestructura tecnológica redundante y en una configuración de alta disponibilidad con capacidad para brindar el servicio de Emisión de Constancias de Conservación de Mensajes de Datos.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación,cuenta con la infraestructura descrita en el Anexo A,

10.4.4.3 Espacio físico y protección de las instalaciones

La infraestructura de cómputo y comunicaciones de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con un espacio físico dedicado que se encuentra delimitado en un aula de acceso restringido dentro de la Notaría. Así mismo, las oficinas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, en donde es posible recibir a los comerciantes para que, de forma presencial, soliciten el servicio de Emisión de Constancias de Conservación de Mensajes de Datos, se encuentran protegidos por:

1. Personal de vigilancia las 24 horas del día, los siete días de la semana durante los 365 días del año.
2. Circuito Cerrado de Televisión (CCTV)
3. Sistemas de control de acceso físico
4. Detectores de Humo.
5. Extintores.

Los centros de datos, en donde se aloja la infraestructura de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, para ofrecer el servicio de Emisión de Constancias de Conservación de Mensajes de Datos, cuentan con certificación ICREA Level 5 “Sala de cómputo de alta seguridad y disponibilidad con certificación de,clase mundial HSHA-WCQA (High Security High Available World Class Quality Assurance). Para una disponibilidad del 99.999%”, lo que asegura una alta disponibilidad y seguridad en lo que respecta a:

• Instalaciones Eléctricas
• Climatización
• Sistema Contra Incendio
• Control de Acceso

• Comunicaciones
• CCTV
• Monitoreo Automatizado

10.4.4.4 Acondicionamiento del Clima y Energía Eléctrica

Los Centros de Datos-donde se ubica la Autoridad de Constancias de Conservación de Mensajes de Datos, cuenta con un sistema de aire de precisión (clima) de operación continua y redundante, que permiten mantener las condiciones ambientales requeridas para dichos Centro de Datos. Adicionalmente se cuenta con sensores de temperatura y humedad que permiten alertar al personal de algún problema que pudiera existir con estos equipos.

Por otra parte, la alimentación eléctrica de los equipos de cómputo y comunicaciones de la Autoridad de Constancias de Conservación de Mensajes de Datos es redundante, mediante el uso de Sistemas de Energía Eléctrica Ininterrumpida (UPS Uniterruptible Power Supply) y Generadores de Corriente Alterna de Emergencia con transferencia automática de carga al UPS y su banco de baterías, cuando se presenta una interrupción del suministro de energía eléctrica de parte de la Compañía que provea el servicio.

Adicionalmente se cuenta con sistemas de tierra física que cumplen con estándares internacionales (IEEE 1100, NEC 250) así como con la Norma Oficial Mexicana para proteger los equipos.

10.4.4.5 Protección contra Inundaciones

Los Centros de Datos donde se encuentran los servidores para la prestación de los servicios de Emisión de Constancias de Conservación de Mensajes de Datos están ubicados en lugares que no están expuestos a inundaciones y las instalaciones están protegidas para evitar filtración de agua.

• 4.4.6 Protección y prevención contraincendios
• Los Centros de Datos donde se encuentra los servidores para la prestación de los servicios de Emisión de Constancias de Conservación de Mensajes de Datos así como las Oficinas Corporativas donde se realiza la administración y operación cuentan con Sistemas de prevención, detección y extinción de incendios. Adicionalmente se cuenta con programas de mantenimiento y de supervisión a las instalaciones para

verificar que no se encuentre material o condiciones que puedan provocar un

incendio.

10.4.5 Proceso de Solicitudes del servicio de Emisión de Constancias de Conservación de Mensajes de Datos

10.4.5.1 Persona que puede solicitar el servicio

Personas físicas o morales que requieren los servicios proporcionados por la Autoridad de Constancias de Conservación de Mensajes de Datos y que aceptan explícita o implícitamente sus términos y condiciones estableciendo para ello un contrato de prestación de servicios.

10.4.5.2 Requerimientos para operar el servicio

Personas físicas o morales que requieren los servicios proporcionados por la Autoridad de Constancias de Conservación de Mensajes de Datos deberán:

Firmar un contrato de prestación de servicios para la Emisión de Constancias de Conservación de Mensajes de Datos

Tener una aplicación cliente compatible con el RFC3161 (Proporcionada por la Autoridad de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación)

Acceso al sistema de solicitudes de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación

10.4.5.3 Atención a solicitantes del Servicio

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, a través de un Agente Comercial, realiza la presentación del servicio de forma personalizada,en sus oficinas ubicadas en Bosques de Ciruelos 255, Col. Lomas de Chapultepec, CDMX y atiende las necesidades de Personas Físicas o Morales interesadas en el servicio, coordina la formalización de la prestación del servicio y realiza el trámite para su incorporación al servicio.

10.4.5.4 Solicitud del Servicio

El solicitante del servicio de Emisión de Constancias de Conservación de Mensajes de Datos debe:

• Establecer una relación jurídica con Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación a través firmar un contrato de prestación

de servicios para la Emisión de Constancias de Conservación de Mensajes de Datos

• Recibir el Aviso de Privacidad

10.4.5.5 Otorgamiento del Servicio

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, en cumplimiento con el numeral 140 de las Reglas Generales a las que deben sujetarse los prestadores de servicios de certificación, cuenta con la infraestructura descrita en el Anexo A.

Para el otorgamiento del servicio el personal responsable de la Emisión de Constancias de Conservación de Mensajes de Datos y el Cliente desempeñan las siguientes actividades:

• Profesional Jurídico

Es responsable de formalizar la firma del contrato con Personas Físicas o Morales para establecer la relación de prestación del servicio de Emisión de Constancias de Conservación de Mensajes de Datos. Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, para tal efecto, realizará las siguientes actividades:

1. Verificar la identidad del solicitante (Personas Físicas y Morales) observando correspondan los rasgos fisonómicos del solicitante respecto a documentación presentada que cuente con sus datos y fotografía.
2. Verificar la personalidad y las facultades del apoderado o representante legal de las personas morales o físicas que sean representadas.
3. Formalizar la contratación del servicio con la firma del contrato.

• Agente Comercial

Es responsable de

1. Proporcionar el Aviso de Privacidad
2. Tramitar el alta del cliente en el sistema
3. Verificar la USB o CD presentado por el solicitante
4. Verificar la información para la incorporación del Cliente al servicio

• Profesional Informático

Es responsable de:

1. Generar el alta del Cliente en el sistema de solicitud de Constancias de Conservación de Mensajes de Datos
2. En caso necesario, configurar acceso seguro (VPN) a repositorio de datos donde obtener la huella digital electrónica resultante de haber aplicado la función de digestión al mensaje de datos a conservar de acuerdo al RFC 3161.

10.4.5.6 Proceso de Emisión de Constancias de Conservación de Mensajes de Datos

Al concluir el proceso de alta en el sistema de solicitud de Constancias de Conservación de Mensajes de Datos, el cliente puede realizar la solicitud de Constancias de Conservación de Mensajes de Datos, a través de aplicación cliente compatible con el RFC3161para generar la solicitud de la constancia (.230CQ). EI acceso a esta aplicación es proporcionado por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación para generar la solicitud de la Constancia de Conservación de Mensajes de Datos. El resultado de este proceso de solicitud de emisión de Constancia de Conservación de Mensajes de Datos es un archivo.230CR.

10.4.5.6.1 Emisión de Constancias de Conservación de Mensajes de Datos

La Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación redliza las actividades siguientes:

1. Recibir la solicitud de Constancia de Conservación de Mensajes de Datos (archivo .230CQ)
2. Verificar que la solicitud de Constancia de Conservación de Mensajes de Datos cumpla con el “Time Stamping Protocol” RFC 3161
3. Si la solicitud cumple con el RFC 3161, emite la Constancia de Conservación de Mensajes de Datos al cliente.
4. El resultado final es un archivo ,230CR que es la Constancia de Conservación de Mensajes de Datos o bien la respuesta a la solicitud de Constancia de Conservación de Mensajes de Datos, es decir del archivo .230CQ.

• Los procesos de alta de Cliente, generación de la solicitud de Constancia de Conservación de Mensajes de Datos, emisión de Constancia de Conservación de Mensajes de Datos y la comprobación de la Constancia de Conservación de Mensajes de Datos se realizan en el sistema de la Autoridad de Constancias de Conservación de

Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios

de Certificación.

10.4.5.6.2 Verificación de la firma electrónica.

El cliente tiene la responsabilidad de comprobar la validez de la firma electrónica de la Autoridad de Constancias de Conservación de Mensajes de Datos (ACCMD)Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación sobre las Constancias de Conservación de Mensajes de Datos emitidos por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Para verificar la firma electrónica de ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, el cliente deberá emplear la llave pública contenida en el Certificado Digital de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, mismos que se encuentran publicados en el sitio de Internet de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación o en el sitio de la Secretaría de Economía http://www.firmadigital.gob.mx/

10.4.5.6.3 Aclaraciones

Los usuarios pueden solicitar aclaraciones o presentar alguna queja, o requerir dsesoría sobre los trámites para solicitar la Emisión de Constancias de Conservación de Mensajes de Datos, para tal efecto Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación pone a disposición de sus clientes o suscriptores el procedimiento correspondiente en su sitio de Internet https://psc.notaria230.com.mx

10.4.6 Administración de Acceso al Sistema

En la Autoridad de Constancias de Conservación de Mensajes de Datos se han implementado diversas políticas y elementos de control con el objetivo común de proporcionar acceso a la información sólo al personal autorizado y que de acuerdo con sus funciones tiene “necesidad de conocerla” asignando en todos los casos el “mínimo privilegio necesario” para el desempeño de sus funciones.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación autentica a los Administradores, Operadores y Clientes del servicio de Emisión de Constancias de Conservación de Mensajes de Datos y verifica sus facultades para poder oforgar el acceso a los recursos informáticos y de comunicaciones de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Los elementos de control corresponden a funciones de seguridad que se habilitan en los sistemas operativos de los sistemas de cómputo y comunicaciones, en las aplicaciones de negocio y por medio de aplicaciones especiales de seguridad informática como son firewalls, detectores de intrusos, antivirus, etc. Estos elementos además de permitir un acceso controlado prohíben el acceso o intento de acceso a la termación o a los servicios que no han sido explícitamente autorizados.

10.4.7 Implementación y Mantenimiento de Sistemas Conflables

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, con base en los resultados del Análisis de Riesgos y Amenazas, ha identificado los sistemas y activos críticos (Ver Anexo A) y ha llevado a cabo acciones necesarias para

asegurarse de que dichos sistemas cumplan con los requisitos de seguridad en la etapa del diseño y en todo su desarrollo, para ello desarrollo su “Política de Desarrollo Seguro” en la que se contemplan los procedimientos de control de cambios para las liberaciones, modificaciones y reparaciones de emergencia al software operacional.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación asegura el sistema y realiza un diagnóstico de seguridad informática previo a incorporar los servicios a productos con el propósito de contar con sistemas confiables que brinden seguridad y continuidad de los servicios.

Como se establece en el punto anterior Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación realiza un análisis de los requerimientos de seguridad en la etapa del diseño y especificación de requerimientos de cualquier proyecto de desarrollo de sistemas emprendido por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Adicionalmente se tienen implementados procedimientos del control de cambios en las liberaciones, modificaciones y reparaciones de emergencia de cualquier software operacional respecto de los servicios de Emisión de Constancias de Conservación de Mensajes de Datos para tener mayor confianza de que no se tendrá ningún impacto en los servicios por el cambio que se realice.

10.4.8 Compromiso de los Servicios de la ACCMD

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, en términos de los servicios de la Autoridad de Constancias de Conservación de Mensajes de Datos tiene compromisos hacia la Secretaria de Economía, sus suscriptores y terceros que confían

Si la llave privada utilizada para la firma de las Constancias de Conservación de Mensajes de Datos fuese comprometida:

• Notificará a la Secretaría de Economía
• Solicitará la revocación del certificado de la unidad de CCMD
• Evitará la Emisión de Constancias de Conservación de Mensajes de Datos inmediatamente
• Procederá a solicitar una nueva emisión de un certificado para reanudar operaciones

En cuanto a la sincronización con el CENAM, si se detecta una pérdida de calibración de los relojes de las unidades de CCMD:

• La Autoridad de Constancias de Conservación de Mensajes de Datos no emitirá ningún Constancia de Conservación de Mensajes de Datos
• Procederá a recalibrar los relojes de sus unidades de CCMD

• Notificará a las partes interesadas que pudieran haber sido afectados por la falta de calibración.

10.4.9 Terminación de la Autoridad Constancias de Conservación de Mensajes de Datos

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación asegurará que la afectación a los Clientes y a los Terceros que Confían estén mitigadas como resultado de la suspensión definitiva o temporal de los servicios de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Particularmente:

Antes de que Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación termine de prestar sus servicios, ejecutará como mínimo los procedimientos siguientes:

1. Poner a disposición todos los Clientes o Suscriptores y de los Terceros que Confían la información referente a su terminación de servicio. Los medios de comunicación serán la página WEB, teléfono, correo electrónico de los clientes y comunicado de forma impresa, estos son:
2. Página web:

ii.https://psc.notaria230.com.mx

iii. Teléfono:

1. 55 5202 8989
2. Transferir sus obligaciones a la autoridad confiable que sea indicada por la Secretaría de Economía para mantener los registros de eventos y archivos de auditoría necesarios para demostrar la correcta operación la Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación por un período de tiempo razonable
3. Conservar o transferir. sus obligaciones a una autoridad confiable que sea indicada por la Secretaría de Economía para hacer accesible su clave pública o sus certificados a los Terceros que Confían por un período razonable

4.Destruir las claves privadas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación asegurando que no puedan ser recuperadas.

5.Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deberá asegurar que todos sus Clientes o Suscriptores conozcan está situación y los procedimientos para que no se vean afectados en su operación.

6. Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación aplicará las fianzas y seguros con los que cuenta para cubrir los procedimientos mínimos en caso de declararse en suspensión.
7. Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación transferirá sus obligaciones a una autoridad confiable previo a lo que se establezca con la Secretaría de Economía.
8. Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación tramitará ante Secretaría de Economía la revocación de las claves privadas que utiliza para brindar el servicio de Emisión de Constancias de Conservación de Mensajes de Datos.
9. Para la ejecución de actividades y por lo crítico de un evento de este tipo, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deberá contar con la autorización de la Secretaría de Economía para poder proceder con las actividades acordadas.

10.4.9.1 Suspensión Temporal

Este escenario se presenta cuando la Dirección General de Normatividad Mercantil de la Secretaria de Economía sancione a Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación con la suspensión temporal por incumplir con alguna de las “reglas generales a las que deberá sujetarse un Prestador de Servicios de Certificación”.

Durante el periodo de tiempo definido por la Secretaría de Economía,Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación suspenderá el servicio de Emisión de Constancias de Conservación de Mensajes de Datos y continuará proporcionando los servicios de consulta de información para no afectar la operación de los Titulares y Terceros que Confían.

10.4.10 Conformidad con Requisitos Legales

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación como Prestador de Servicios de Certificación cumple con los requisitos establecidos legalmente y opera bajo los términos que establece el Código de Comercio, TÍTULO SEGUNDO de Comercio Electrónico, el Reglamento del Código de Comercio en Materia de Prestadores de Servicios de Certificación y las Reglas generales a los que deberán sujetarse los Prestadores de Servicios de Certificación emitidas par la Secretaría de Economía.

Además, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar el cumplimiento con leyes, circulares, reglamentos y

demás disposiciones que apliquen a la emisión de Constancias de Conservación de Mensajes de Datos.

La información que en virtud de acuerdos contractuales quede en poder de un prestador de servicios de certificación, se regirá por lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

10.4.11 Registro de la Información de la Operación de la ACCMD

Además de la Política y Declaración de Prácticas que se encuentran publicadds en el sitio de internet https://psc.notaria230.com.mx, cuenta con los manuales y procedimientos que establecen en las “Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certiicación” y cuyo objetivo es garantizar la seguridad en la prestación de los servicios.

10.4.11.1 Registro y respaldos de información

10.4.11.1.1 Tipos de eventos registrados                                                                                                               S

La Autoridad de Constancias de Conservación de Mensajes de Datos lleva un registro de los eventos de atención a los solicitantes y clientes o suscriptores, así como de los eventos ocurridos durante el servicio de Emisión de Constancias de Conservación de Mensajes de Datos que permitan detectar cualquier desviación de manera oportuna.A continuación, se listan los registros los cuales se mantiene registro con fecha y hora:

• Registro de la información recibida de los solicitantes del servicio de Emisión de Constancias de Conservación de Mensajes de Datos.
• Registro de actividad de administradores, operadores y clientes o suscriptores tal como:

o Cualquier cambio en la configuración:

• – Interacción entre componentes del sistema.
• Alta, baja y cambios de Administradores, Operadores y Clientes.
• Acceso a los servicios de Emisión de Constanclas de Conservación de Mensajes de Datos.
• Solicitudes y respuestas de Constancias de Conservación de Mensajes de Datos emitidas. Estos registros deben contar al menos con la información necesaria para el proceso de facturación:
• Cliente (Nombre de la empresa y/o nombre del operador)
• Emisión de Constancias de Conservación de Mensajes de Datos emitidos al cliente.
• Fecha y hora.
• Errores presentados en el sistema y en la operación de los clientes o suscriptores.

• Accesos de los administradores y operadores.
• Estos eventos se registran en la Base de Datos.
• Los eventos significativos tales como la administración de claves, sincronización del reloj, pérdida de sincronización y de la interacción de los componentes del sistema de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Estos eventos se registran en archivos logs o bitácoras. Para cada actividad en el Log se detalla la fecha,la hora de sistema (del servidor), el componente en el que se genera el evento y una descripción en términos sencillos de la función ejecutada en caso de un manejo de excepción.

Los registros contienen la hora exacta del momento en que se registren en el sistema de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Los registros de eventos de Emisión de Constancias de Conservación de Mensajes de Datos son retenidos o conservados, de acuerdo con el resultado de un análisis de información contenida en el sistema y del periodo de respaldo y depuración que se establezca en la Política y Procedimiento de Respaldos de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

10.4.11.1.2 Respaldos y medios de almacenamiento

Los respaldos de la información de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación descrita en el numeral inmediato anterior se realiza de acuerdo con lo establecido en la Política y Procedimiento de Respaldos de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

La Autoridad de Constancias de Conservación de Mensajes de Datos cuenta con los programas de respaldo de información y se realizan de acuerdo con el procedimiento para garantizar de esta forma la disponibilidad de información en caso de una contingencia.

Los respaldos de información de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación se resguardan en un lugar seguro y se protegen con un control de acceso exclusivo a personal autorizado.

10.4.11.2 Período de Almacenamiento

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación resguarda las Constancias de Conservación de Mensajes de Datos por un periodo de 10 años.

El periodo de almacenamiento de los registros relacionados con la actividad operativa de los administradores, operadores y clientes se realiza de acuerdo con la “Política de Respaldos”.

10.4.11.3 Protección de la Información

La información resultante de la operación de la Autoridad de Constancias de Conservación de Mensajes de Datos es resguardada en el Sistema de Respaldos y en los medios de almacenamiento que garanticen razonablemente su integridad y disponibilidad para su ulterior consulta.

Los respaldos y la protección de esa información se realizan en lugares seguros bajo la custodia apropiada y sólo tendrá acceso a éstos el personal autorizado.

10.4.11.4 Procedimiento de Respaldo de Información

El procedimiento de respaldo de la información se realiza de acuerdo con lo establecido en la “Política de Respaldos” de Alfredo Bazúa Witte Notario 230 de ld CDMX Prestador de Servicios de Certificación.

10.4.11.5 Seguridad de la Información 0

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación en su calidad de Autoridad de Constancias de Conservación de Mensajes de Datos es responsable de mantener la confidencialidad y la integridad de los registros referentes a la operación y a la información que se derive del servicio de Emisión de Constancias de Conservación de Mensajes de Datos. Para mantener la integridad y confidencialidad de los registros Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación implementa el cifrado de los logs / bitácoras generadas por el sistema de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y procesos de tipo criptográfico en la Base de datos. Esto en complemento a lo establecido en la documentación normativa referente a seguridad proporcionada a la Secretaría de Economía como parte del proceso de acreditación.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación emplea todos los medios necesarios que garantizan razonablemente la seguridad de los datos obtenidos de los solicitantes de la Emisión de Constancias de Conservación de Mensajes de Datos.

El cumplimiento de las normas por parte del personal que desempeña roles de confianza en Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, se verifica periódicamente a través de auditorías.

La documentación recibida de los Solicitantes durante el proceso de contratación del servicio de Emisión de Constancias de Conservación de Mensajes de Datos se resguarda en archiveros provistos con chapa, dentro de un área de acceso restringido, con la finalidad de mantener su integridad y confidencialidad.

Archivos.230CQ y .230CR

Los archivos se almacenan en una unidad segura dentro del activo descrito en la matriz de Evaluación de Riesgos y Amenazas como PSCSTO01 para el centro de datos principal:

“Equipo de alta capacidad de almacenamiento para datos de administración de la Autoridad de Constancias de Conservación de Mensajes de Datos y Sellos Digitales de Tiempo (Storage NAS Dell EMC NX440) (Datacenter Querétaro)”

y están disponibles solo para el uso del sistema con el fin de consultarlos para proporcionarlos al comerciante. Una copia de los mismos archivos se encuentra en un activo de características idénticas en el Datacenter de Monterrey (PSCSTO02).

La estructura de directorios es un folder llamado 230CQ y otro llamado 230CR, con la siguiente definición:

drive://CCMD/230CQ

drive://CCMD/230CR

En los directoros residen los archivos .230CQ y.230CR respectivamente con la siguiente nomenclatura de nombramiento:

• 230CQ
• 230CR

En donde ld corresponde al identificador interno del sistema para la solicitud de Constancia de Conservación de Mensajes de Datos, 230CQ identifica que es una solicitud de Constancia de Conservación de Mensajes de Datos, 230CR identifica que es una Constancia de Conservación de Mensajes de Datos, YYYY identifica al año, MM identifica al Mes, DD identifica al día, hh identifica la hora, mm identifica los minutos y ss identifican los segundos en que se procesó el archivo en cuestión.

Las solicitudes de Constancias de Conservación de Mensajes de Datos (archivos ,230CQ) que envían los clientes o suscriptores a Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación durante el proceso de Emisión de Constancias de Conservación de Mensajes de Datos son a través de canales seguros (tecnologías VPN y SSL).

10.4.11.6 Reporte y respuesta a incidentes

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con una Política de Atención a Incidentes de Seguridad en la que se establecen los lineamientos y actividades para actuar oportunamente en caso se presente un incidente de seguridad.

10.4.11.7 Recuperación en Caso de Desastre

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación,cuenta con un “Plan de Continuidad del Negocio” y un “Plan de Recuperación e Desastres”, que contemplan los elementos tecnológicos, humanos y de organización para garantizar que aún en casos de contingencia, esté listo para actuar y continuaf con los procesos en un tiempo de respuesta que minimiza los impactos para sus clientes o suscriptores.

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación,cuenta con una solución diseñada para garantizar alta disponibilidad de los servicios y de la información relevante que debe estar disponible para los Clientes y Terceros que Confían y con personal capacitado para responder oportunamente ante diferentes escenarios de contingencia que puedan afectar la prestación de los servicios.

Adicionalmente, se realizan simulacros de contingencia controlados, ejecutados al menos uno al año que permiten garantizar que se cuenta con los elementos humanos,tecnológicos y normativos para dar continuidad a la prestación de servicios ante una contingencia.

10.4.11.7 Recuperación de Hardware, Software y Datos

En caso de daños en el hardware o software del servicio de emisión Constancias de Conservación de Mensajes de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con equipo redundante en el Centro de Datos Secundario, para continuar ofreciendo el servicio.

En caso de daños en los datos obtenidos del servicio de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, se cuenta con replicación periódica en equipos ubicados en un centro de datos secundario, garantizando así el respaldo de la información necesaria además de la que se resguarda en el Sistema de Respaldos.

10.5 Organizacional

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación busca la acreditación como Prestador de Servicios de Certificación por la Secretaría de Economía como Autoridad de Constancias de Conservación de Mensajes de Datos CCMD) y como tal cumple con las siguientes clausulas:

• Las políticas y procedimientos bajo los cuales opera la Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación no son discriminatorias.
• Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, pondrá sus servicios como Autoridad de Constancias de Conservación de Mensajes de Datos a todos sus suscriptores que cuenten con un contrato de prestación de servicios con la Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, hayan aceptado las obligaciones descritas en este contrato y cumplan con las prácticas y políticas de la Autoridad de Constancias de Conservación de Mensajes de Datos.
• Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación,cumple con las normas legales vigentes en los Estados Unidos Mexicanos.
• Alfredo Bazúa Witte Notaro 230 de la CDMX Prestador de Servicios de Certificación garantiza que sus sistemas son seguros y confiables, ya que,para lograr la acreditación por parte de la Secretaria de Economía, los sistemas fueron concebidos y son operados bajo los más altos estándares internacionales establecidos por instituciones como ISO, ETSI, IETF y NIST.
• Todos los procesos, planes de contingencia, prácticas y políticas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación,se encuentran debidamente documentados y son revisados y actualizados periódicamente.
• Todo el personal de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación está debidamente calificado y cumplen con los requisitos expresados en las reglas generales a las que deben sujetarse los prestadores de servicios de certificación publicadas por la secretaria de Economía.
• Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, tiene disposiciones adecuadas para cubrir responsabilidades

derivadas de sus operaciones y/o actividades, las cuales, se encuentran

detalladas en este documento.

• Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servidios de Certificación, tiene y demostró ante la Secretaria de Economía la estabilidad financiera y los recursos necesarios para operar como una Autoridad de Constancias de Conservación de Mensajes de Datos; sin embargo, en caso del cese de actividades de la Autoridad de Constancias de Conservación,de Mensajes de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con procedimientos para minimizar el impacto en aquellos que se pudieran ver afectados. Estos procedimientos sê explican en la sección “Terminación de la Autoridad de Constancias de Conservación de Mensajes de Datos”.

11.Consideraciones de seguridad

Al verificar las Constancias de Conservación de Mensajes de Datos, es necesario que el cliente o tercero que confía se asegure de que el certificado de la USDT sea confiable y no esté revocado. Esto significa que la seguridad depende de la seguridad de la Autoridad Certificadora (CA) que ha emitido el certificado y que también proporciona información precisa del estado de revocación del este certificado.

Cuando una Constancia de Conservación de Mensajes de Datos se verifica como válida en un momento dado, esto no significa que necesariamente seguirá siendo válida más adelante. Cada vez, que un cliente o tercero que confía verifica una Constancia de Conservación de Mensajes de Datos durante el período de validez del certificado de la ACCMD, debe también verificar nuevamente contra el actual estado de revocación del certificado, ya que en caso de que la clave privada de la ACCMD este comprometida, todos las Constancias de Conservación de Mensajes de Datos generados por esa ACCMD se convierten inválidas.

12.Auditorías

12.1 Auditorías de Cumplimiento

Para validar el cumplimiento de las políticas y procedimientos establecidos para la prestación del servicio de la Autoridad de Constancias de Conservación de Mensajes de-Datos:Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, realiza de forma periódica auditorías conforme a lo siguiente:

Evaluaciones internas de cumplimiento a los procedimientos de las áreas operativas, de tecnología de información y comunicaciones y administrativas, las cuales se realizan una vez al año.

2) Evaluaciones de Controles Generales de Tecnologías de Información y Comunicación anuales realizadas por un despacho de auditoría externa.

1. El proveedor se elige por evento de acuerdo con la Polítca para las relaciones con los proveedores
2. La Dirección General de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación realiza la selección de proveedores.

3) Análisis de seguridad y de Pruebas de Penetración realizados a la infraestructura de cómputo y comunicaciones dos veces al año con personal de Seguridad Informática de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación

4) Análisis de seguridad y de Pruebas de Penetración realizados a la Infraestructura de cómputo y comunicaciones una vez al año con proveedores especializados en seguridad informática.

1. El proveedor se elige por evento de acuerdo con la Política para las relaciones con los Proveedores
2. La Dirección General de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación selecciona los proveedores.

5) Auditorías externas por parte de la Secretaría de Economía.

12.1.1 Identidad y cualidades del Personal que realiza Auditorias

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con un área de Cumplimiento para llevar a cabo las funciones de evaluación a los procesos de negocio, a las tecnologías de información y comunicación y a la seguridad en toda la organización, este personal cuenta con el perfil, competencias y conocimientos conforme lo requerido por la Secretaría de Economía necesarios para desempeñar la función.

12.1.2 Relación de la entidad que evalúa y Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación

Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación aplica el criterio de independencia, imparcialidad y de no conflicto de intereses del área que audita con las áreas de Operación y Tecnologías de Información.

12.1.3 Acciones a desarrollar en caso de la detección de deficiencias-

La Autoridad de Constancias de Conservación de Mensajes de Datos de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación tiene establecido en procedimiento que los hallazgos de las revisiones de cumplimiento internas, auditorías externas, evaluaciones de seguridad internos y externos sean atendidos por cada uno de los responsables en tiempo y forma. El personal del área

de Cumplimiento de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación da seguimiento y evalúa la atención de los hallazgos.

• Comunicación de los resultados

Conforme al procedimiento establecido, el informe de resultados de hallazgos se revisa en primera instancia con los responsables de los procesos o funciones para establecer acuerdos para su cumplimiento y posteriormente se presenta el informe de resultados finales a la administración de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación; así también, de los reportes de avances y cumplimiento.

12.1.4.1 Resguardo de los hallazgos de Auditoría

El líder auditor será el responsable de resguardar los hallazgos de auditoría, así como el informe final, el reporte de avance y cumplimiento y les dará el tratamiento de información confidencial. El resguardo será realizado de manera electrónica y el encargado del SGSI deberá contar con una copia de dicha información.

13.Referencias

RFC 3628.-Policy Requirements for Time-Stamping Authorities (TSAS).

RFC 3161.-Time-Stamp Protocol (TSP).

RFC 3126.-Electronic Signature Formats

ETSI TS 102 023 Electronic Signatures and Infrastructure (ESI); Policy requirements for time-stamping authorities.

REGLAS generales a las que deberán sujetarse los prestadores de servicios de certificación. Publicadas el 14 de mayo del 2018, en el Diario Oficial de la Federación.

14 Control de revisiones y cambios

15 Revisión y aprobación del documento

15.1    Calendario para la revisión y actualización de la Declaración

La revisión de la presente declaración se realizará anualmente o bien cuando se presente un cambio importante al SGSI y/o servicio.

ANEXO A Activos Críticos

El detalle completo de los activos críticos, esta descrita en el Análisis y Evaluación de Riesgos y Amenazas, en el siguiente listado, se identifican los elementos descritos en la regla 140 de las Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación. Las computadoras personales e impresoras necesarias para las tareas administrativas y de oficina para prestar los servicios de Constancias de Conservación de Mensajes de Datos se encuentran en las oficinas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.

Centro de Datos Principal:

Centro de Datos Secundario: