Guia Tecnica para Timbrar con CFDI – Facturacion Electronica del SAT Preguntas y Respuestas

Contador Mx Te recomienda

La facturación Electrónica ya entro de lleno a nuestro sistema contable, financiero y social. Los CFDIs pretenden ser los únicos métodos que los contribuyentes tengamos por lo que es necesario entender de que trata al 100%.

Hoy en día los Contadores, Administradores y sobre todo personal de sistemas de las empresas deben tener conocimientos básicos respecto a la emisión, recepción y análisis de los CFDIs.

En esta ocasión el SAT pone a nuestra disposición las preguntas y respuestas respecto a los problemas técnicos que con frecuencia se dan al momento de querer timbrar nuestros Comprobantes Fiscales Digitales por Internet.

PREGUNTAS FRECUENTES (FAQ) DE TECNOLOGÍA SOBRE COMPROBANTES FISCALES POR INTERNET
(TIMBRADO DE COMPROBANTES)

1. En el caso de la moneda ¿existe algún un catálogo de códigos? ¿puede ser cualquier string? R. No existe catálogo de códigos, se puede utilizar cualquier string.

2. ¿El tipo de cambio no debe ser importe? R. No, ya que sirve para manejar la paridad de la moneda contra el peso Mexicano, y es un campo tipo string.

3. En el caso del CFD Versión 2, el domicilio del receptor debe tener la dirección, y en la Versión 3, no se requiere. ¿Es correcta la diferenciación? En el caso de que así sea, los de Versión 2 que no cumplan con el esquema de dirección, ¿caen en el supuesto del artículo 109? R. En ambas versiones el domicilio del receptor se mantiene como opcional.

4. EL algoritmo de cifrado y hash fue cambiado a SHA1, ¿esto aplica para todos los comprobantes de Versión 2 desde el 1 de enero del 2011? R. Sí

Calculadora de Regalo: Descargar, sirve para calcular fácilmente el ISR, IMSS e Infonavit de 2020 desde una sencilla Hoja en Excel, es completamente GRATIS!

 

5. ¿En dónde se especifica el nivel de seguridad requerido para almacenar el certificado del SAT? R. En la matriz de controles de seguridad aplicable a las empresas interesadas en ser PAC’s, y que será revisada en el proceso de certificación.

6. ¿Las reglas para la llamada de los web services serán publicadas más adelante? R. Los Web Services publicados por el SAT para realizar las consultas y cancelaciones para los contribuyentes y a través de los PAC’s, se encuentran publicados en el portal del SAT

7. ¿Es necesario contar con una certificación ISO 27001 o de otro tipo? R. No es necesario, pudiera ser conveniente para el aspirante a PAC debido a que la información que genera para las auditorías podría servirle para demostrar en las evaluaciones del SAT su cumplimiento con la Matriz de Controles.

8. ¿Los gastos de viaje para las revisiones de centros de cómputo serán absorbidos por los aspirantes a PAC’s? R. No

9. ¿Qué medio se emplea para la transmisión de información? R. La transmisión de la información se realiza por una red pública (Internet) asegurando el medio y el mensaje.

10. ¿Se puede tener un site en el extranjero? R. Sí

11. Aún en la Aplicación Gratuita, ¿la información que se recibe debe guardarse por el mismo tiempo que el servicio contratado? R. Sí

12. “Entregar copia de una aplicación informática para la generación y expedición de CFDI”, ¿Se refiere a la solución de emisión? ¿Se tiene que entregar los ejecutables o el código fuente? ¿La aplicación puede ser un portal en WEB (HTTPS) o debe ser algún ejecutable que el contribuyente pueda instalar en su equipo? R. Pueden ser ambas soluciones.

13. “permitiendo que a la misma se tenga acceso incluso de manera directa desde la página de Internet del SAT.”: ¿Qué tipo de acceso? ¿Con una liga (URL) que haga referencia? ¿Incrustada dentro de la página del SAT?, si es de esta manera, ¿cuál va a ser la especificación para realizarlo? R. Con la URL que haga referencia.

14. ¿Todos los controles generales mencionados en la Matriz de Controles también los debe de cumplir la Aplicación Gratuita? R. Sí

15. “Están habilitadas las Pista de Auditoria del Aplicativo, Sistema Operativo y Base de Datos, de tal forma que se le pueda dar seguimiento a accesos de Súper usuario y de usuarios privilegiados y con permisos de súper usuario?“, ¿Se refiere a las bitácoras de bases de datos? o ¿a las bitácoras del servicio PAC? R. Se refiere a ambas.

16. “Se debe llenar adecuadamente el formato de clasificación de la información, de tal forma que se pueda llevar con esto el Análisis de Riesgos”, ¿Existe algún formato de clasificación de la información predeterminado por el SAT o es el formato que se maneje internamente en la empresa? ¿Existen criterios en específico para la creación del inventario del proceso y activos de información, o son en base a los criterios internos de la empresa? R. Es parte de la Matriz de Controles para las empresas interesadas en ser PAC’s.

17. “Las claves de acceso deben estar compuestas de 8 caracteres mínimos para su adecuada administración”, Estamos bajo la suposición que la clave de acceso se refiere al nombre de usuario (username), ¿esta suposición es correcta? R. Es correcto.

18. ¿Cuál es la estructura de la LCO? R. La LCO (Lista de Contribuyentes Obligados) es una lista de XML firmada en estándar PKCS#7 por el SAT que contiene la información de los RFC’s y sus certificados conforme al régimen aplicable para la emisión de CFDI.

19. ¿Cuál es el intervalo de tiempo entre actualizaciones, de dicha lista LCO? R. De 36 a 48 horas.

20. ¿Cada cuando se tiene que estar enviando al SAT los CFDI’s timbrados? R. Debe ser un proceso en línea, para su envió inmediato, aun recibiendo después de 1 hora los CFDI’s timbrados, pero con la salvedad de marcarse como extemporáneos.

21. ¿Cuál es la estructura del mensaje para el envío de los CFDI’s al SAT? R. El SAT proporciona a las empresas interesadas y en el proceso de certificación, la estructura y tecnología aplicable a los mensajes de datos.

22. ¿Se tiene algún servicio para pruebas? R. Si, se cuenta con un servicio de pruebas y certificación para las empresas interesadas en ser PACs.

23. ¿Cuánto es el tiempo máximo que se debe almacenar un CFDI timbrado? R. 5 Años para el emisor y receptor. El PAC los debe almacenar por 3 meses.

24. ¿Cuáles son los códigos de error cuando no se genere un timbre? R. En la pregunta 35 se enlistan los códigos de error para el timbrado.

25. ¿Qué algoritmo de firmado se utiliza al momento de enviar el mensaje? R. Referente al mensaje de cancelación se utiliza el WS- Security, XML Digital Signature con SHA1.

26. ¿Cuál es la respuesta cuando se cancela un CFDI? R. El SAT emite un acuse electrónico usando WS- Security, XML Digital Signature con SHA512.

27. ¿Se necesitan enlaces dedicados como VPN site to site o frame relay? R. No es necesario.

28. ¿Hacia dónde se tiene que hacer la conexión y fecha estimada de funcionamiento? R. En cuanto un PAC sea certificado se le darán los accesos a los servicios de producción para enviar los CFDI.

29. ¿Ancho de banda necesario? R. Conforme a los requerimientos operativos que establece el SAT, cada PAC deberá contar con el ancho de banda suficiente para realizar la entrega al SAT manteniendo los niveles de servicio requeridos.

30. ¿Conexión permanente o bajo demanda? R. Indistinto, siempre y cuando se mantengan los niveles de servicio especificados.

31. Con respecto a la sincronización del tiempo haciendo uso de un servidor de GPS, ¿se puede utilizar una infraestructura pública? R. No, dado que la latencia hacia una infraestructura externa al PAC es variable.

32. ¿El centro de datos (primario y secundario) puede estar ubicado en el extranjero o debe estar ubicado en territorio nacional? R. Los centros de datos pueden estar ubicados fuera de territorio nacional.

33. ¿Cuánto tiempo dura el proceso de acreditación de PAC por parte del SAT a partir del ingreso de la solicitud para ser PAC? R. Un promedio aproximado de dos meses.

34. ¿Hay un XSLT oficial para generar la cadena original del CFD versión 3.0 para generar el sello del emisor y otro XSLT para generar la cadena original del TimbreFiscalDigital? ¿Dónde están publicados? R. El XSLT del CFDI (CFD v3) el Timbre Fiscal Digital y sus esquemas de datos están publicados en la página de internet del SAT.

35. ¿Están enlistadas las reglas de validación de CFDI de forma oficial?

Para el timbrado:

Validaciones necesarias para la emisión de un timbre y su Código de Error

  • Que cumpla con el estándar de XML (Conforme al W3C) y con la estructura XML (XSD y complementos aplicables) 301
  • Que el sello del Emisor sea válido 302
  • Que el CSD del Emisor corresponda al RFC que viene como Emisor en el Comprobante 303
  • Que el CSD del Emisor no haya sido revocado, utilizando la lista de LCO 304
  • Que la fecha de emisión esté dentro de la vigencia del CSD del Emisor 305
  • Que la llave utilizada para sellar corresponda a un CSD (no de FIEL) 306
  • Que no contenga un timbre previo 307
  • Que el CSD del Emisor haya sido firmado por uno de los Certificados de Autoridad de SAT 308
  • Que el rango de la fecha de generación no sea mayor a 72 horas para la emisión del timbre 401
  • Que exista el RFC del emisor conforme al régimen autorizado (Lista de validación de régimen) LCO 402
  • Que la fecha de emisión sea posterior al 01 de Enero 2011 403

Para la cancelación:

Validación de la cancelación del CFD y Código

  • UUID Cancelado 201
  • Validación de la cancelación del CFD Código UUID Previamente cancelado 202
  • UUID No corresponde al emisor 203
  • UUID No aplicable para cancelación 204
  • UUID No existe 205

Validación de timbrado y cancelación del CFDI Código

  • XML mal formado 301
  • Sello mal formado o inválido 302
  • Sello no corresponde a emisor o caduco 303
  • Certificado revocado o caduco 304
  • La fecha de emisión no está dentro de la vigencia del CSD del Emisor 305
  • EL certificado no es de tipo CSD 306
  • El CFDI contiene un timbre previo 307
  • Certificado no expedido por el SAT 308

36. ¿Los PAC tienen que contar con una infraestructura de operación propia y no se dejará rentarle a terceros ni nacionales ni extranjeros? ¿Es cierto, en este caso qué alternativas de infraestructura tienen los PAC? R. Pueden rentar la infraestructura (Usar la infraestructura de otros). Lo que no se puede hacer es compartir la infraestructura con otras aplicaciones, empresas, entidades o procesos, debe haber esa independencia.

37. Respecto al uso de archivos de validación

a. Para el esquema CFD: ¿se utiliza el CSD y el FolCerSat? R. Se debe utilizar la lista de certificados CSD y la lista de Folios aprobados que el SAT publica en su portal (archivos txt).

b. Para el esquema CFDI: se utilizan CRL y LCD únicamente, ¿Es correcto? R. Se utiliza únicamente la LCO.

38. ¿El archivo LCO solo contiene a los contribuyentes tanto de CFDI como de CFD? R. La lista de contribuyentes con obligación a la emisión (LCO) contiene los RFC de aquellos contribuyentes que cuentan con CSD.

39. En el WS ¿Hay un espacio libre para datos extras que requerimos para el tema comercial? (con el objetivo de identificar al emisor como cliente) Porque no lo vemos en la información que tenemos del WS. R. No

40. Implementación y controles. Se debe generar una matriz de controles por dominio, el cual permita identificar en que parte estos deben ser implementados, ¿en qué parte no aplican y/o no es necesario invertir esfuerzo en su implementación? Explicar que espera el SAT aquí. R. Una Matriz de Controles que el PAC haya identificado como requeridos para implementar derivado de su análisis de riesgos (puede ser complementaria a la Matriz de Controles que el SAT establece)

41. En el Complemento de prestador para 2011 para esquema CFD, ¿Cambia la digestión a SHA-1? R. Sí

a) ¿Debemos tener un directorio activo solo para esta solución? R. No

b) ¿Debemos tener una base de datos dedicada para esta solución? R. No

42. Respecto a la copia de la aplicación requerida que viene en la “Ficha 125/CFF” del anexo 1-A de la RMF para 2011, en la que se indica “Entregar copia de la aplicación que utilice para certificar CFDI, así como de sus mejoras cuando éstas se realicen”, significa que: la copia de la aplicación se debe entregar en formato digital (CD) ¿con ejecutables o el código fuente?, ¿Cada vez que vaya haber una actualización de la solución, hay que enviar al SAT una copia de la actualización (ejecutables o fuentes)? ¿Cómo es este proceso? R. Sí, puede ser entregada en CD y se requieren los ejecutables y código.

43. ¿A qué aplicativo específicamente se refieren en la Matriz de Controles?, ¿A la aplicación gratuita para la emisión? ¿A la aplicación para la administración de los servicios de timbrado? ¿A una aplicación donde se den de alta los usuarios que mandarán timbrar? ¿A los servidores para administrarse? R. A los aplicativos tanto del servicio gratuito como del servicio de valor agregado del PAC (por el que cobra).

44. En la matriz se menciona que la infraestructura no debe estar compartida, está permitido utilizar “virtualizaciones”? Es decir, ¿Es válido utilizar máquinas virtuales dedicadas para el Servicio? R. Sí, siempre y cuando cada partición del servidor virtual cumpla con los controles y no se compartan estos servidores virtuales con otros servicios del PAC diferentes de los de Factura Electrónica.

45. Si tenemos 2 data center, y queremos someterlos a certificación, ¿la revisión del segundo data center como se haría? ¿solo de la infraestructura por haber ya probado la parte de la solución con el primer data center? R. Se debe considerar que se revisarán completos los dos datacenters.

46. Observando la documentación del timbrado, ¿Se presta atención que las cancelaciones se harán en lote, a través de un servicio web por parte del SAT? R. Las cancelaciones se pueden realizar de 1 hasta 500 Folios fiscales (UUID).

47. ¿Cómo es la dinámica? ¿Cómo es que se van a subir hasta 500 comprobantes? ¿Todo por medio de código? R. La estructura del mensaje de datos para la solicitud de cancelación de CFDI está descrita en el anexo 20 rubro II.D.

48. ¿Y para el firmado del sello? ¿también se realiza por lotes? o ¿se puede invocar el servicio de firmado, cada vez que se genere un nuevo CFDI? R. La recepción de solicitudes de certificación (timbrado de comprobantes) la establece cada PAC con cada uno de sus clientes. El SAT no regula la comunicación entre el PAC y sus clientes.

49. ¿A qué se refiere con la revisión de archivos de configuración? R. Archivos de configuración de sistemas operativos, aplicativos, bases de datos, herramientas de configuración o elementos que habiliten el control al que se refiere la revisión.

50. ¿Las sesiones y las cookies tienen un tiempo de vida iniciando desde que el usuario se logueo o iniciando desde la última operación que hizo el usuario desde que se logue? ¿Esto está normado? R. Se recomienda altamente que las cookies se manejen por sesión autenticada.

51. ¿El SAT va a firmar también con su CSD el acuse? ¿las confirmaciones de cancelación estarán firmadas por el SAT, no tiene que ver con la certificación (timbrado)? R. Entendiendo como acuse al Timbre Fiscal Digital el SAT emitirá un certificado de sello digital a cada PAC para realizar el “acuse” (timbrado). Los acuses de cancelación están firmados por el SAT y son un servicio aparte del timbrado.

52. ¿Se incluye el certificado público del SAT en la firma del acuse? R. Entendiendo como acuse al Timbre Fiscal Digital, éste integra un atributo con el número de serie del certificado emitido al PAC por el SAT.

53. ¿El SAT puede dar ejemplos de la generación del XML? R. Se dan ejemplos de los mensajes SOAP de cancelación a las empresas en el proceso de certificación para ser PAC’s.

54. ¿Falta la definición de los tipos mostrados en el XML de cancelación? R. El SAT proporciona clientes ejemplo de los servicios a los aspirantes a PAC. En esos ejemplos se integra el contrato de datos para la cancelación, tal cual el anexo 20 v3.

55. ¿Hay un usuario y password para acceder al servicio de cancelación? La respuesta es ya una definición para los PAC? Los contribuyentes, para tener acceso a los servicios de cancelación se les requerirán Contraseña (antes CIEC) o FIEL. R. Sí, es a través de certificación cruzada y la autenticación por FIEL o Contraseña (CIEC).

56. Tecnología actualizada. ¿A qué se refieren con equipo de cómputo actualizado? ¿Existe algún criterio para determinar que es obsoleto o no (2 ó 3 años de antigüedad, familia de procesadores, tipo de memoria, etc.)? R. Se considera obsoleto cuando no tiene garantía ni soporte de proveedor y/o el producto ha sido descontinuado.

57. Sistema operativo. ¿A qué se refieren con versión actualizada? ¿Windows de qué versión en adelante? ¿O Unix o Linux? R. Se considera obsoleto cuando no tiene garantía ni soporte de proveedor y/o el producto ha sido descontinuado.

58. Servidor de tiempo. Se menciona que “Integración de un servicio de tiempo GPS” ¿Se refiere al Time Stamping? R. Si se refiere al time stamping de la certificación del CFDI. Se recomienda que se utilice un servicio de TS de reloj GPS ya que se cuenta con latencia conocida y es una solución eficaz y económica.

59. Separación de los sistemas y aplicativos. Se menciona que “Prevenir que la infraestructura y aplicaciones relacionadas con la prestación del servicio sean empleadas para otros fines, o se comparta la infraestructura, o use para propósitos ajenos al servicio” ¿Es totalmente dedicada o se puede compartir? R. Sí, es otro servicio que se provee bajo una autorización del SAT podría compartirse la infraestructura bajo las siguientes consideraciones:

a) La autorización anterior expirará en un periodo de tiempo y deberán entonces removerla de la infraestructura.

b) Los controles de la otra autorización no son equivalentes por lo que no se debe asumir que cumplirán con la matriz de control. Es más probable que no la cumplan.

60. Auditorías internas. Se menciona que “Auditorías efectivas mediante personal autorizado y seguimiento” Se menciona que se pueden presentar evidencia de certificaciones como CISA, CISSP, CRisk, etc. ¿Es válida experiencia demostrable en auditorías tipo CMMI (SCAMPI), ISO 27001, auditorías de secretaría de economía? R. Sí, siempre y cuando sean demostrables como auditor y no como auditado.

61. ¿Es correcto que el estándar del CBB a usar sea el ISO/IEC 18004/2000? R. Es correcto aunque existe una actualización a dicho estándar, si la actualización es retro compatible con la versión pedida no hay problema.

62. En el punto de la matriz de requerimientos, se especifica lo siguiente: ¿Se guarda una copia del respaldo de pistas de auditoría de SO, BD y Aplicativo, en un lugar distinto al principal? Mostrar evidencia visual y/o en bitácora, documentación, otros. R. Se deben resguardar fuera de sitio tanto las pistas de infraestructura como de la aplicación. De la misma forma, se debe conservar un respaldo fuera de sitio de la aplicación.

63. ¿Durante cuánto tiempo debemos almacenar los respaldos de las pistas de auditoría? R. Cinco años máximo. Mínimo seis meses en línea.

64. Todos los puntos de la lista de requerimientos dentro de la “Matriz de Controles de Seguridad” ¿son indispensables? o ¿se puede prescindir de alguno de ellos? R. Deben cumplir todos los requerimientos.

65. ¿El “Disaster Recovery Plan” exige algo en especial como un site alterno? R. El site alterno debe cumplir con los mismos requerimientos de la Matriz de Controles.

66. ¿El “Business Continuity Plan” es solo a nivel procedimiento o también abarca el nivel físico? R. Todos los elementos necesarios para no interrumpir los procesos relacionados con Factura Electrónica.

67. ¿El mensaje usa SOAP? R. Sí

68. ¿El protocolo de internet es SSL? R. Sí

69. Hay un tamaño máximo para el XML del CFDI? R. No.

70. En la impresión del CFDI, ¿En qué lugar debe ponerse el timbre fiscal? R. El lugar no está normado. Puede colocarse en cualquier sitio, siempre y cuando sea legible.

71. Hay algún ejemplo de XML de un CFDI? R. Sí, en la siguiente liga: https://www.sat.gob.mx/sitio_internet/asistencia_contribuyente/principiantes/comprobantes_fiscales/66_18779.html, Opción Ejemplo CFDI.

72. ¿Hay algún ejemplo de impresión de un CFDI? R. Sí, en la siguiente liga: https://www.sat.gob.mx/sitio_internet/asistencia_contribuyente/principiantes/comprobantes_fiscales/66_18779.html Ejemplo de la versión impresa del CFDI

73. Si el usuario olvida la contraseña ¿La aplicación debe de tener algún módulo para que el usuario pueda recuperar su contraseña?, ¿El usuario tiene que comunicarse con el PAC? R. Para el cliente gratuito no se contempla dicha funcionalidad como base, si el proveedor decide implementarla queda abierto a su consideración.

74. Al momento en el que el usuario escribe 3 veces su contraseña de forma fallida, se indica en la matriz de controles lo siguiente: “Se deberá de bloquear la clave con un máximo de 3 intentos fallidos.”, las preguntas son: ¿Se bloquea la contraseña por un tiempo específico (¿Cuánto tiempo?), o hasta que el usuario se ponga en contacto con soporte técnico? R. Para el cliente gratuito no se contempla dicha funcionalidad como base, si el proveedor decide implementarla queda abierto a su consideración.

75. ¿Existe algún tiempo de expiración definido de las sesiones abiertas de los usuarios por inactividad? R. Se recomienda usar cookies por sesión y TTL de vida menores a 2 minutos.

76. En cuanto al Timbrado Fiscal Digital, ¿De qué manera se entera el SAT sobre un CFD generado y timbrado en la aplicación gratuita? R. Todo CFDI generado por la aplicación gratuita o timbrado por un PAC debe ser enviado al SAT, el medio de entrega es un WS.

77. Certificado SAS 70 sirve como evidencia para los puntos relacionados con INFRAESTRUCTURA TECNOLOGICA? R. Puede servirle al PAC para tener lista la evidencia. La revisión la realizará el SAT completa.

78. ¿Cómo obtenemos información del SAT (folios, sellos y series), por medio de web services? ¿O se siguen utilizando archivos texto? R. Para CFDI el SAT no emitirá los folios ni series, el UUID será generado conforme al estándar RFC 4122, para tal efecto se utilizará la versión 4(random plus sha1), los mecanismos de entrega de los Sellos Digitales serán los que actualmente se tienen.

Deja un comentario

Suscríbete a ContadorMx

Recibe de forma gratuita las novedades fiscales, contables y de seguridad social más importantes en México.

Gracias por suscribirse.

Algo salió mal.

Suscríbete a ContadorMx

Recibe de forma gratuita las novedades fiscales, contables y de seguridad social más importantes en México.

Gracias por suscribirse.

Algo salió mal.

Suscríbete a ContadorMx

Recibe de forma gratuita las novedades fiscales, contables y de seguridad social más importantes en México.

Gracias por suscribirse.

Algo salió mal.

Comparte con un amigo