Según el anexo 30 de la Resolución Miscelánea Fiscal vigente, para el almacenamiento de la información, es necesario contar con varios aspectos. Acá te nombraremos los requisitos principales, en base el RMF.
Requerimientos del almacenamiento de la información
Para que el almacenamiento de la información se pueda cumplir, se tiene que cumplir con los siguientes requerimientos:
- Toda la información que sea procesada y recopilada, se tiene que guardar de una manera segura.
- Absolutamente toda la información almacenada, deberá estar protegida de tal manera que no pueda ser eliminada. En caso de que haya una modificación en la información, la misma tiene que tener un registro.
- Cada una de los registros de las operaciones, por cada instalación o procedimiento, se tendrá que instalar sistemas de medición. Tienen que estar separados, para que al momento de identificarlos sea mucho más fácil.
- Las informaciones que sean almacenadas, van a tener que estar ubicadas o interrelacionadas en una base de datos. La base de datos a la cual se subirá esta información, tiene que cumplir con los siguientes requisitos o características:
- Tiene que ser relacional.
- Deberá tener herramientas, para que pueda haber una administración, notificación, respaldo, y control de errores o diagnósticos.
- La base de datos, tiene que tener la capacidad de exportación de cada uno de los datos, pudiendo dirigirse a aplicaciones de análisis.
- También tiene que tener la capacidad de resistir comunicaciones, según las especificaciones y características que podrás conocer en el portal de SAT.
- Gestor de base de datos, para que haya una correcta funcionabilidad en las siguientes acciones:
- Búsqueda y consultoría de información.
- Deberá tener un menú con informes adelantados
- Tener la capacidad de diseñar informes personificados
- Tiene que tener la opción de poder imprimir informes y consultas.
- Como quinto punto, tiene que tener tablas, las cuales deberán corresponder a todos los conceptos que en ella se vayan a almacenar. Tendrá que permitir la consulta e impresión de resultados de búsqueda o informes.
- Las filas de estas tablas, tienen que ir en orden a un registro, al igual que las columnas, que tendrán que corresponder a cada uno de los registros que se hagan en él.
Requerimientos para el procesamiento de la información y generación de los reportes
Los procesos de información, se tratan de pasar la información generada, almacenada y recopilada, en una serie de programas que tiene que permitir lo siguientes:
- La integración de las informaciones que se manejan en la base de datos, la cual podemos ver en el apartado 30.6.1.3, de la fracción IV del Anexo 30.
- Los informes diarios y mensuales, tiene que ir conforme a las características y especificaciones que se darán a conocer en la página del SAT.
- Tiene que permitir el sellado de cada uno de los reportes, con el Certificado de Sello (digital) del contribuyente, el cual es generado por el SAT en su portal.
Todos los reportes que se nombran o hacen referencia en este apartado, tienen que ser enviados al SAT por los contribuyentes que anuncia la norma 2.6.1.2. en el espacio de la regla 2.8.1.7. de la fracción III.
Además de esto, el programa informático, tiene que cumplir ciertas medidas o características técnicas. Las mismas las vas a poder encontrar en el portal web del SAT.
Requerimientos u obligaciones de seguridad
Para que haya una buena garantía de la información, se tiene que cumplir varias medidas o características, para que se pueda mantener una correcta confidencialidad. La seguridad, integridad, y disponibilidad de la información, tiene que ir en base a lo siguiente:
- Se tiene que resguardar la confidencialidad o seguridad de la información, y para esto, se tiene que cumplir con lo siguiente:
- Solo se le tiene que permitir el acceso al programa informático o cualquier otra información que esté guardada en la UCC, a aquellos usuarios autorizados. Estos usuarios, tienen que ser autenticados por medio de una contraseña robusta.
- Según el perfil establecido en el apartado 30.6.1.1. fracción IV, inciso a) del presente Anexo, los usuarios tienen que cumplir con una serie de atributos. Esto para poder interactuar o usar el programa informático de manera correcta.
- Las cancelaciones de usuarios o incorporación de los mismos, se tienen que guardar en la bitácora o caja de eventos.
- El usuario y su autenticación, tiene que ir de la mano con el mecanismo y calidad de robustez de la contraseña adecuada.
- Los ID, o en su defecto, los identificadores de dispositivos inmutables (mac-address); el identificador único del sistema operativo, no tendrá que usarse como credenciales.
- El programa tiene que autenticarse a la par, con la interfaz del usuario y el servidor (frontend y backend).
- Tanto el cliente como el servidor tienen que ser autenticados de manera correcta con la seguridad (TLS) o certificados parecidos.
- La seguridad del programa informático, tiene que contrarrestar aquellos ataques que tengan que ver con el control de acceso. Contrarrestar ataques de bidding-down y TLS stripping.
- Tiene que tener la opción de usar certificados con el cifrado de información, para el intercambio y el transporte.
- Se tendrá que garantizar el resguardo e integridad de las informaciones, por lo tanto, es necesario que:
- Todos los medios de comunicación que se usan para la transferencia de información tienen que tener mecanismos de remisión a problemas eléctricos o magnéticos.
- Toda la información que sea recopilada, almacenada, procesada y generada, al igual que la bitácora o caja de eventos y registros de alarmas, deberán provocar pistas de auditoría.
- Si hay algún intento de eliminar registros, se tienen que producir alarmas.
- Introducir herramientas para la programación, para que sea protegida ante alteraciones de información.
- Los registros de las entradas, recepción y entregas de hidrocarburo y petrolífero, tiene que ser inmediato. Igualmente, el registro de control de las existencias, tienen que hacerse de manera diaria y en la misma hora.
- Para poder garantizar la disponibilidad de las informaciones, es necesario que:
- El programa funciona de una manera continua, sin interrupciones.
- Se esté prevenido ante aquellas interrupciones que no estén programadas.
- Toda la información que esté almacenada, tiene que estar disponible para cada uno de los usuarios, según el perfil que tenga asignado.