Mejores Prácticas de Seguridad Informática al adoptar Factura Electrónica

La Factura Electrónica como un nuevo esquema de comprobación fiscal digital entró en vigor de manera obligatoria este año para miles de contribuyentes, y no está ajena a las inquietudes de los  empresarios y contadores que la han adoptado o están en proceso de hacerlo; sobre todo en el tema de seguridad.

Hay muchos contribuyentes que aún consideran que la Factura Electrónica no es del todo segura. Aqui te damos la respuesta y aclaramos tus dudas.

¿Por qué es segura?
El Servicio de Administración Tributaria (SAT) estableció medidas para asegurar la integridad de la información de una Factura Electrónica. En ese sentido, el primer elemento de seguridad a considerar es la estructura de una Factura Electrónica, ya sea CFD o CFDI;la cual cumple con las específicaciones técnicas establecidas en la Resolución Miscelánea Fiscal y su Anexo 20 donde se anota:

1. Utilizar el estándar del comprobante fiscal digital: el XML
2. Contemplar las reglas para la generación del sello digital de las Facturas Electrónicas 2011

El estándar XML dota a la Factura Electrónica de elementos de seguridad porque cuenta con las siguientes ventajas:

1. No es posible modificarlo
2. Puede validarse

El segundo elemento que dotan de seguridad a la Factura Electrónica, justamente tiene que ver con los elementos que se requieren para iniciar su emisión: la Firma Electrónica Avanzada (FIEL) y Certificado de Sello Digital (CSD).

Recordemos que la FIEL es el primer paso para adoptar la Factura Electrónica y, se trata de un conjunto de datos que se adjuntan a un mensaje electrónico, cuyo propósito es identificar al emisor del mensaje como autor legítimo de éste, tal y como si se tratara de una firma autógrafa.

Por sus características, la FIEL brinda seguridad a las transacciones electrónicas de los contribuyentes, con su uso se puede identificar al autor del mensaje y verificar que no haya sido modificado. Por su parte, el CSD es un documento electrónico mediante el cual una autoridad de certificación (SAT) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública. El CSD permite:

a) Firmar digitalmente las Facturas Electrónicas
b) Sellar electrónicamente la cadena original al momento de emitir
c) Garantizar el origen y unicidad (integridad, no repudio y autenticidad)

El CSD permitirá acreditar la autoría de los comprobantes fiscales digitales emitidos, y de esta manera sus

clientes saben que nosotros, como contribuyente, somos el autor (o autores) de dicho comprobante fiscal digital. En tanto la Llave Privada es un archivo .cer que forma parte del CSD y cuya función es garantizar que el timbrado de facturas electrónicas se logre sin mayores problemas.

Tanto el CSD y la Llave Privada contienen datos específicos que nos identifican como contribuyentes ante el SAT. De ahí, el temor sobre el por qué los proveedores de Factura Electrónica (entiéndase, proveedores de software empresarial) o los PACs se quedan con la contraseña del CSD y la Llave Privada.

La intervención del PAC en el timbrado de los CFDI es obligatoria, y para hacer esta acción necesita del CSD y Llave Privada (para saber más de este tema, consultar el blog:

http://contpaqisoftwarefacilycompleto.blogspot.com/2011/06/cuidado-con-lo-que-te-dicen-el-csd-y.html.

El PAC utiliza la información del CSD y Llave Privada pero no hace mal uso de esta, ya que el SAT obliga a cada PAC a firmar un convenio de confidencialidad y pide resguardar esta información en medios de alta seguridad. Adicionalmente, si se hace mal uso de la información, el PAC pierde la certificación y da lugar a demandas penales, incluso por daños y perjuicios.

¿Cuáles son los aspectos clave del proceso de Factura Electrónica para tomar medidas de seguridad?

Para reforzar la seguridad en la emisión y recepción de la Factura Electrónica, considera lo siguiente:

1. Almacenamiento por parte del emisor y del receptor
2. La verificación de su autenticidad
3. El timbrado por parte del PAC
4. El envío a clientes y la recepción de las mismas

Estas acciones adicionales reforzarán la seguridad, además de brindar mayor tranquilidad en los procesos de

emisión y recepción de Facturas Electrónicas. Saber si mi factura electrónica llegará a su destino y no será compartida ni explotada de ninguna forma, o saber que la información que recibo NO contiene virus informáticos que dañen mi computadora o roben mi información son prioridades de gran importancia en toda empresa o negocio.

Es necesaria  una Cultura de Seguridad de la Información para implementar acciones como:

1. Proteger los sistemas informáticos con soluciones antimalware proactivas
2. Establecer un plan de respaldo de información
3. Implementar una arquitectura de soluciones de seguridad por capas: desde el acceso a Internet hasta los

dispositivos móviles cada vez más usados.

En el siguiente blog, con ayuda de expertos en seguridad informática, como lo es la empresa HD México, especializada en la distribución de soluciones y consultora en la implementación de mejores prácticas de seguridad informática, daremos respuesta las preguntas de:

¿Cómo protejo mis facturas electrónicas de los ataques de  cibercriminales?
¿Cuál es el lugar más seguro para guardar los archivos digitales?
¿Debo guardar el PDF o el XML de una factura electrónica?
¿Qué es un almacén digital?
¿Se puede alterar una factura electrónica?

En el primer blog de Mejores Prácticas de Seguridad Informática al adoptar Factura Electrónica, mencionamos que el Servicio de Administración Tributaria (SAT) estableció medidas para asegurar la integridad de la información de una Factura Electrónica.

Para refrozar estas propiedades de seguridad, que por naturaleza fueron atribuídas a la Factura Electrónica, es necesario considerar las siguientes recomendaciones:

Recomendación 1: Seguridad al emitirlas, enviarlas y recibirlas.

Recordemos que “Los contribuyentes que emitan y reciban CFDI, deberán almacenarlos durante 5 años en medios magnéticos, ópticos o de cualquier otra tecnología, en su formato electrónico XML”, de acuerdo con la Regla  I.2.23.3.2, de la Primera Resolución Miscelánea Fiscal, publicada el 14 de septiembre de 2010.

No sólo el receptor debe guardar las Facturas Electrónicas que recibe de su proveedor, también el emisor debe guardar las facturas electrónicas que emite y envía a sus clientes; y es importante no guardarlas en el correo electrónico o en carpetas sueltas.

El primer paso es almacenar, ordenar y clasificar las Facturas Electrónicas en un solo lugar; y un almacén digital es el sitio más seguro para guardarlas, además de que ayuda a ahorrar espacio y papel.

No obstante, contar con un almacén digital no es todo. Es fundamental que en las empresas exista una política formal para crear respaldos en medios externos y definir quiénes tienen acceso a la información almacenada.

En el tema de almacenamiento empresas especializadas en la distribución de soluciones de seguridad informática, como HD México, también recomienda utilizar soluciones de software de respaldo para Windows en caso de desastre. Este tipo de soluciones ayuda a proteger los sistemas y bases de datos de posibles pérdidas de información, ocasionados por ataques de virus informáticos, caídas de sistema, desastres naturales, errores de usuarios o hackers, entre otras amenazas.

Incluso, hay proveedores de software empresarial, como CONTPAQi®, que sus aplicaciones incluyen la característica de Almacén Digital a fin de facilitar el respaldo de los archivos XML y agilizar la búsqueda de los documentos.

Recomendación 2: Verificar la autenticidad de las Facturas Electrónicas.
Este es un aspecto de suma importancia, ya que si las Facturas Electrónicas no son válidas no pueden ser deducibles. ¿Cómo las validamos? ¿Qué herramienta necesitamos?

La verificación la debes realizar con una herramienta llamada “Validador”. Por ejemplo, el software de CONTPAQi® cuentan con un Validador que verifica la autenticidad de su estructura, el sello y cadena original, así como el folio, serie y número de aprobación por parte del SAT.

El SAT, también cuenta con un validador. Para usarlo, sólo debes ingresar a:

La diferencia entre el validador del SAT y el de CONTPAQ i®, es que este último valida las facturas electrónica de manera masiva y en el del SAT debes hacerlo una por una.

Recomendación 3: Timbrado de la Factura Electrónica.

Un tercer paso es la función del Proveedor Autorizado de Certificación (PAC), conocida como “Timbrado de CFDI”; ésta incrementa el control de seguridad para la Factura Electrónica. Elegirlo bien es fundamental para garantizar la continuidad de la operación y ahorrar tiempo.

Recomendación 4: Proteger el envío y recepción de las Facturas Electrónicas.

Esta acción es elemental para evitar principalmente 3 catástrofes:

1. Extracción de datos al momento de enviarlas
2. Contaminación por virus que pueden dañar el equipo y por lo tanto toda tu información

3. Pérdida de documentos

Pero con un antivirus basta para evitarlas y estar protegidos. ¿Qué otras herramientas necesitamos? HD México señala contar con herramientas de protección y análisis de los archivos recibidos a través del correo electrónico o descargados desde algún sitio es lo mínimo requerido.

Adicionalmete, HD México recomienda:

1. Usar antivirus para tener protección contra todo tipo de amenazas de Internet, como troyanos, gusanos, spyware, rootkits y cualquier otro tipo de código malicioso
2. Usar soluciones para proteger los servidores internos de cualquier empresa, ya que son puntos clave en cualquier estrategia de protección dada la importancia de la información y servicios que contienen
3. Soluciones antivirus y antispam para correo electrónico
4. Protección para los protocolos HTTP y FTP de una organización contra virus, gusanos, troyanos, phishing y las más variadas amenazas informáticas tanto conocidas como desconocidas.
5. Protección para dispositivos móviles como Smartphones y PocketPCs, pues cada día son más utilizados, y el malware que los tiene como objetivo también crece. Detectar y deshabilitar estas amenazas emergentes también requiere de tecnología.

Por su parte, firmas como CONTPAQ i®, contarán con la entrega de CFDI vía AS2 para grandes cadenas comerciales. AS2 es una solución para el encriptamiento de información que evita la extracción de datos al momento de enviarla.

En resumen, podemos decir que la Factura Electrónica tiene por sí misma propiedades de seguridad:

– Brinda autenticidad: la firma electrónica trabaja igual que la firma autógrafa.
– El sello digital es único para cada transacción
– Es íntegra ya que puedes conocer si existe alguna alteración de la información de origen
– Con la firma electrónica se evita que se rechace el documento por el emisor (no repudio)
– Firmas digitales finitas: tanto la FIEL como el CSD se pueden cambiar o revocar
– En el caso de los CFDI el Proveedor Autorizado de Certificación es un agente neutral al emisor y al receptor que valida los estándares y agrega un sello digital adicional

Considerar las acciones de seguridad informática para la Factura Electrónica:

– Contar con soluciones de seguridad informática
– Cuidar la llave privada y contraseña del certificado de sello digital
– No tener información dispersa en el correo electrónico o carpetas sueltas
– Realizar periódicamente respaldos en la computadora y en medios externos
– Definir políticas de administración y control de acceso
– Validar la autenticidad de las facturas electrónicas
– Considerar una herramienta para el cifrado de la información
– Elegir con cuidado al proveedor  de seguridad informática.