• Se inicia a través de Buzón Tributario.
• Se concluye en la Administración Central de Seguridad, Monitoreo y Control, ubicada en Tercer Retorno de Cáliz, sin número, colonia El Reloj, delegación Coyoacán, c.p. 04640, Ciudad de México.
  

• Mínimo 2 contratos de servicios de evaluaciones y verificación de controles de seguridad basados en ISO27001, COBIT e ITILV3, ambientes Cloud, así como revisión de lenguajes o códigos de programación, dichos contratos deberán contar con la liberación de la Fianza (sector público) o carta de terminación del cumplimiento de las obligaciones (sector privado).

• Contrato en el cual se realicen servicios de revisión de controles de seguridad físicos de centros de datos o ambientes Cloud.
• Contrato en el que se haya realizado una revisión o un desarrollo o proyecto que incluya los siguientes temas:
  

a)   Aplicación, integración y revisión de calidad de desarrollo de software.

b)   Aplicación, integración y revisión de lenguajes de programación Java, Java Script, XML, XML Schema, XSLT, X integración y revisión de lenguajes de programación Java, Java Script, XML, XML Schema, XSLT, XPath.

• Tener un equipo de staff el cual deberá:

a)   Contar con experiencia comprobable y las certificaciones emitidas por organismos nacionales o internacionales en materia de Seguridad de la Información, tales como: PMP PROJECT MANAGEMENT PROFESIONAL, CISSP (CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL, Auditor Líder ISO 27001:2005 o ISO 27001:2013, CISA (CERTIFIED INFORMATION SYSTEMS AUDITOR), CISM (CERTIFIED INFORMATION SECURITY MANAGER), SSCP (SYSTEMS SECURITY CERTIFIED PRACTITIONER).

b)   Cubrir al menos una de las siguientes áreas de conocimiento:

1. Administrador de contratos gubernamentales.
2. Licenciatura en Derecho.
3. Especialidades en derecho fiscal o aduanero.

• Presentar la estructura jerárquica del staff en la cual se incluya por lo menos lo siguiente:

a)   1 Líder del proyecto.

b)   1 Coordinador y revisor.

c)   6 verificadores que conformaran el equipo de revisión.

• Señalar el número de verificaciones mensual que tiene proyectado realizar.
• Manifestar el nombre, domicilio fiscal, dirección electrónica y número telefónico incluyendo clave lada, de las personas que se designen como contacto ante el SAT.
• Señalar la figura de tercero autorizado que pretenden certificar.
• Herramienta propia o bajo servicio, para la administración de la información de las verificaciones que realice durante la vigencia de su autorización, la cual debe contar con las características y funcionalidades siguientes:
  

a)   Permitir al SAT la consulta de información; proporcionando un procedimiento para la solicitud de alta de usuarios, así como un manual de usuario.

b)   Portal web que utilice un mecanismo de conexión segura (https).

c)   Módulo de administración de usuarios que permita aplicar altas, bajas, modificaciones, suspensiones y reactivaciones de usuarios del portal.

d)   Repositorio para evidencias y archivos de trabajo que debe soportar los archivos electrónicos de las evidencias presentadas como parte de las verificaciones.

e)   Disponibilidad de la herramienta para consulta de información 7 días a la semana las 24 horas.

f)    Permitir la definición, seguimiento, monitoreo de tareas y proyectos de remediación, a través de módulos que sean parte del mismo sistema para llevar a cabo las gestiones siguientes:

1. Asignación de tareas.
2. Asignación de responsables.
3. Definición de fechas compromiso.
4. Priorización de atención.
5. Actividades de auditoría.
6. Actividades de remediación.
7. Proyectos.
8. Equipos de trabajo.
9. Notificaciones.
10. Evidencia resolución de tareas.
    

g)   Permitir la generación de reportes.

h)   Permitir la definición y administración de usuarios, roles, perfiles y funciones (generación de reportes, acceso, distribución y publicación de la información, entre otros) bajo esquemas de control de accesos basados en roles.

i)    Permitir y restringir el acceso a la información y generar los reportes detallados en los cuales se muestren los campos y atributos de dicha información.

j)    Permitir y generar tableros de control a través de un ambiente web que soporte el acceso con el uso de protocolos seguros (https).

k)   Permitir la difusión automatizada con periodicidad configurable, de los reportes y análisis generados, mediante su publicación en la interface Web y correo electrónico interno o SMTP.

l)    Permitir, identificar y evaluar riesgos, con métricas en línea que respondan con actividades de seguimiento y planes de remediación.

m)  Contar con una serie de componentes para el modelado y configuración de controles de cumplimiento regulatorio.

n)   Permitir la ejecución proactiva de evaluaciones y revisión del cumplimiento de controles, obligaciones y requisitos, para anticipar la identificación de hallazgos y establecer planes de remediación que permitan al usuario mostrar avances con evidencias digitales de su ejecución.

o)   Permitir el cierre del ciclo de cumplimiento mediante herramientas de análisis de resultados y seguimiento de proyectos, como base para la toma de decisiones.

p)   Incluir el reporte, seguimiento de tareas y proyectos, mediante su vinculación con los riesgos asociados, así como la evaluación de tendencias y datos históricos.

q)   Incluir modelos matemáticos y modelos de riesgos, ambos orientados a la evaluación de hallazgos y vulnerabilidades encontrados en la evaluación del marco tecnológico aplicable.

r)   Que pueda anexar o incluir definición dinámica de los atributos de activos, modelos matemáticos, hallazgos y pruebas.

s)   Permitir la construcción de modelos cualitativos y cuantitativos de evaluación del riesgo.