normatividad.chavezaranda.com

Requisitos para operar como órgano certificador autorizado por el SAT
2.18.1. Para los efectos del artículo 32-I del CFF, las personas interesadas en obtener autorización para operar como órgano certificador, deberán cumplir con los siguientes requisitos:
I. Ser una persona moral con residencia fiscal en México.
II. Tributar conforme al Título II de la Ley del ISR.
III. Que dentro de su objeto social se encuentren señaladas las actividades para las cuales solicita autorización para fungir como órgano certificador.
IV. Estar al corriente en el cumplimiento de sus obligaciones fiscales.
V. Tener un capital suscrito y pagado de por lo menos $20’000,000.00 (veinte millones de pesos 00/100 M.N.).
VI. Disponer de la capacidad técnica, material, humana y financiera, así como las instalaciones, equipo y tecnología para llevar a cabo la adecuada y oportuna prestación del servicio de certificación al tercero autorizado.
VII. Contar con experiencia, especialidad y cumplimiento en evaluaciones y verificación de controles de seguridad, así como con una herramienta para la administración de la información de las verificaciones.
VIII. Acreditar que el personal de la empresa asignado a las verificaciones de terceros autorizados, cuente con experiencia comprobable y certificaciones emitidas por organismos nacionales o internacionales en materia de seguridad de la información.
IX. No contar, ni haber contado con alguna de las autorizaciones señaladas en las disposiciones fiscales y aduaneras por parte del SAT, por lo menos en los dos ejercicios fiscales anteriores a la solicitud.
X. No mantener ningún tipo de participación o interés de manera directa o indirecta en la administración, control o capital, de los terceros autorizados por el SAT, así como con los socios o accionistas de estos y no tener vinculación entre ellas de conformidad con el artículo 68 de la Ley Aduanera, por lo menos en los últimos dos años anteriores a la obtención de la autorización.
XI. No encontrarse inhabilitada para contratar con la Administración Pública Federal, Fiscalía General de la República y entidades federativas, ni que por su conducto participan personas físicas o morales, que se encuentren en dicho supuesto.
XII. Cumplir con lo señalado en la ficha de trámite 262/CFF “Solicitud de validación y opinión técnica para operar como órgano certificador”, contenida en el Anexo 1-A.
XIII. Cumplir con lo establecido en la ficha de trámite 263/CFF “Solicitud de autorización para operar como órgano certificador”, contenida en el Anexo 1-A.
Una vez que se obtenga la autorización, deberá contar con la garantía a que se refiere la ficha de trámite 263/CFF “Solicitud de autorización para operar como órgano certificador”, contenida en el Anexo 1-A, a fin de garantizar el pago de cualquier daño o perjuicio que por impericia o incumplimiento de la normatividad establecida en esta resolución, sus Anexos y la que se dé a conocer a través del Portal del SAT que regule la función del órgano certificador, que se ocasione al fisco federal o a un tercero.
En caso de no presentar la garantía en los términos y plazos señalados, la autorización no surtirá efectos, y los actos que deriven de la misma se consideraran inexistentes.
Para validar lo establecido en la fracción XII de la presente regla, la ACSMC de la AGCTI podrá realizar la verificación del cumplimiento de requisitos y obligaciones establecidas para los aspirantes a órganos certificadores, a efecto de emitir la opinión técnica correspondiente, de conformidad con el siguiente procedimiento:
I. Se levantará un acta circunstanciada en la que se harán constar los hechos u omisiones conocidos por los verificadores y en consecuencia se emitirá un oficio en el que constarán los incumplimientos detectados y se le otorga el plazo señalado en la fracción siguiente.
II. Cuando la ACSMC, detecte que el aspirante a órgano certificador ha dejado de cumplir con alguno de los requisitos establecidos en la ficha de trámite 262/CFF “Solicitud de validación y opinión técnica para operar como órgano certificador”, contenida en el Anexo 1-A, notificará, en su caso, los incumplimientos detectados, otorgándole un plazo de diez días hábiles, para que presente aclaración mediante la cual podrá desvirtuar dichos incumplimientos, acreditar que fueron resueltos o manifestar lo que a su derecho convenga.
III. La ACSMC, valorará la documentación e información presentada por el aspirante a órgano certificador.
IV. Emitirá el oficio de opinión técnica final de la verificación.
En el caso de que el oficio de opinión técnica final de la verificación contenga incumplimientos, el aspirante a órgano certificador no podrá presentar nuevamente la solicitud de validación y opinión técnica para operar como órgano certificador en un plazo de seis meses, contados a partir de la fecha de notificación del citado oficio.
CFF 32-I

Vigencia y renovación de la autorización para operar como órgano certificador
2.18.2. Para los efectos del artículo 32-I del CFF, la autorización para operar como órgano certificador, tendrá vigencia por el ejercicio fiscal de que se trate. En tanto continúen cumpliendo los requisitos y supuestos bajo los cuales se otorgó la autorización, la misma podrá ser renovada por el siguiente año, siempre que el citado órgano presente en el mes de octubre de cada año aviso en términos de la ficha de trámite 264/CFF “Aviso de renovación de la autorización y exhibición de la garantía para continuar operando como órgano certificador”, contenida en el Anexo 1-A y exhiba la garantía vigente por el ejercicio fiscal de que se trate.
El órgano certificador que no presente el aviso en los términos de la ficha de trámite señalada anteriormente, perderá la vigencia de su autorización y no podrá solicitarla nuevamente hasta el mes de marzo del ejercicio siguiente a aquel en que no renovó la misma.
CFF 32-I, RMF 2024 2.18.3., 2.18.5.

Publicación de datos de los órganos certificadores en el Portal del SAT
2.18.3. Para los efectos del artículo 32-I del CFF, el SAT dará a conocer a través de su Portal, la denominación o razón social, la clave en el RFC, domicilio y la página de Internet, según corresponda, de los órganos certificadores autorizados.
Adicionalmente el SAT podrá publicar otros datos de contacto que complementen la información de dichos órganos.
Asimismo, se darán a conocer los datos previamente publicados de aquellos órganos a quienes se les haya dejado sin efectos, revocado o no renovado la autorización.
CFF 32-I, RMF 2024 2.18.2., 2.18.4., 2.18.8.

Procedimiento para dejar sin efectos la autorización para operar como órgano certificador
2.18.4. Para los efectos del artículo 32-I del CFF, los órganos certificadores que requieran que la autorización que les fue otorgada quede sin efectos por así convenir a sus intereses, deberán solicitarlo en términos de la ficha de trámite 266/CFF “Solicitud para dejar sin efectos la autorización para operar como órgano certificador”, contenida en el Anexo 1-A.
La AGJ valorará la procedencia de dicha solicitud, tomando en consideración la opinión de carácter tecnológico que, en su caso, emita la ACSMC, por lo cual, una vez que cuente con los elementos necesarios, emitirá respuesta al órgano solicitante.
En el supuesto que la valoración sea en el sentido de dejar sin efectos la autorización, el órgano certificador deberá continuar prestando el servicio durante un periodo de transición de noventa días, contados a partir de la fecha y hora manifestada en la solicitud, debiendo cumplir con lo siguiente:
I. Publicar en un lugar visible en su página de Internet un “AVISO URGENTE” con la siguiente leyenda:
“Estimado usuario, se le informa que el día _ de 20__, vence el periodo de transición de noventa días que nos fue otorgado por el SAT, derivado de que dejará de surtir efectos la autorización para operar como órgano certificador, por lo que se le hace una atenta invitación para contratar a cualquiera de los órganos publicados como autorizados en el Portal del SAT.”;
II. Informar mediante correo electrónico a todos sus clientes, el mensaje señalado en el numeral anterior, solicitando la confirmación de recepción del mismo.
III. Presentar durante el mes siguiente a aquel en el que dé inicio el periodo de transición, a través de buzón tributario los archivos que contengan por cada uno de sus clientes, copia del aviso remitido mediante correo electrónico y, de contar con ella, la confirmación de recepción por parte de sus clientes.
IV. Abstenerse de ofrecer sus servicios como órgano certificador a nuevos clientes.
La publicación del aviso a que se refiere la fracción I, así como el envío del correo señalado en la fracción II, deberán realizarse a más tardar dentro de los tres días naturales siguientes a aquel en que inicie el periodo de transición.
Lo referido en las fracciones I, II, III y IV, no será aplicable cuando el órgano certificador manifieste bajo protesta de decir verdad y demuestre que no cuenta con clientes.
La solicitud para dejar sin efectos la autorización para operar como órgano certificador, no será procedente cuando este cuente con clientes y procedimientos de certificación en curso o se encuentre en alguna revisión por parte del SAT, o derivada de la misma cuente con incumplimientos a los requisitos y obligaciones.
CFF 32-I, RMF 2024 2.18.3.

Obligaciones de los órganos certificadores
2.18.5. Para los efectos del artículo 32-I del CFF, los órganos certificadores autorizados deberán cumplir con las siguientes obligaciones:
I. Dictaminar sus estados financieros en términos del artículo 32-A del CFF, o presentar la información sobre su situación fiscal de conformidad con el artículo 32-H del citado Código.
II. Enviar la garantía a que se refiere la ficha de trámite 264/CFF “Aviso de renovación de la autorización y exhibición de la garantía para continuar operando como órgano certificador”, contenida en el Anexo 1-A, dentro de los treinta días naturales contados a partir del día siguiente a aquel en que surta efectos la notificación de la autorización. En caso de no presentar la garantía en los términos y plazos señalados, la autorización quedará sin efectos.
III. Emitir al menos una certificación de cumplimiento a un tercero autorizado, de manera anual mediante la cual se acredite la verificación de los requisitos y obligaciones de los terceros autorizados por el SAT, en términos de la regla 2.18.6. y la ficha de trámite 286/CFF “Aviso de certificación de los terceros autorizados”, contenida en el Anexo 1-A.
IV. Permitir y facilitar en cualquier momento al SAT, la verificación de los requisitos y obligaciones para operar como órgano certificador, así como atender cualquier requerimiento que dicho órgano desconcentrado realice respecto de su función como órgano certificador.
Cuando se deje de atender total o parcialmente cualquier requerimiento de información de la autoridad fiscal o no se permita llevar a cabo alguna verificación con el propósito de corroborar los requisitos y obligaciones del órgano certificador, o bien, que a través del ejercicio de facultades de comprobación se detecte algún incumplimiento, el SAT a través de la AGJ procederá a emitir resolución en la que se revoque la autorización.
V. Informar al SAT, los cambios que de conformidad con lo establecido en el artículo 27 del CFF en relación con el artículo 29 de su Reglamento, efectúen al RFC, así como los datos que se encuentren publicados en el Portal del SAT, de conformidad con lo señalado en la ficha de trámite 265/CFF “Avisos de actualización de información de los órganos certificadores”, contenida en el Anexo 1-A.
VI. Dar aviso al SAT sobre la celebración de contratos con los terceros autorizados, así como cuando estos se modifiquen o rescindan, de conformidad con lo señalado en la ficha de trámite 268/CFF “Aviso de firma, modificación o rescisión de contratos celebrados entre los órganos certificadores y los terceros autorizados”, contenida en el Anexo 1-A.
VII. Permitir al SAT, a través de cualquiera de sus unidades administrativas verificar en cualquier momento, la validez y vigencia de las certificaciones emitidas a favor del personal de la empresa asignado a las verificaciones de terceros autorizados, por parte de organismos nacionales o internacionales en materia de seguridad de la información.
VIII. Dar aviso a la ACSMC de la AGCTI de la baja o reemplazo del personal de la empresa asignado a las verificaciones de terceros autorizados, indicando el motivo de la misma, dentro de los tres días siguientes a que se presente, de conformidad con lo señalado en la ficha de trámite 269/CFF “Aviso de baja o reemplazo del personal asignado a las certificaciones de terceros autorizados”, contenida en el Anexo 1-A.
Dentro de los treinta días siguientes a que se dé el hecho señalado en la fracción anterior, deberá cubrir el remplazo de la baja del personal mencionado, a efecto de que el SAT valide que cumple con las certificaciones solicitadas, en términos de lo señalado en la ficha de trámite 269/CFF “Aviso de baja o reemplazo del personal asignado a las certificaciones de terceros autorizados”, contenida en el Anexo 1-A.
IX. Generar y entregar las cartas de confidencialidad firmadas por el personal de la empresa asignado a las verificaciones de terceros autorizados, en la que se obliga a resguardar la información del tercero autorizado por el SAT, mismas que deberán mantener vigentes durante su autorización y hasta tres años posteriores al término de la misma.
X. Conservar el histórico de todas las verificaciones realizadas en todo momento y ponerlos a disposición del SAT cuando este lo requiera.
XI. Cumplir en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, con la reserva de la información a que tenga acceso, y salvaguardar la confidencialidad de todos los datos con que cuente con motivo de la autorización.
XII. Generar y entregar reportes estadísticos del cumplimiento del marco de control por parte de los terceros sujetos a su certificación a la ACSMC del SAT, de forma anual, de conformidad con la ficha de trámite 270/CFF “Reportes estadísticos de los órganos certificadores”, contenida en el Anexo 1-A.
XIII. Generar y entregar un informe detallado con evidencias documentales respecto al cumplimiento del marco de control aplicable a cada uno de los terceros sujetos a su certificación, de acuerdo a la ficha de trámite 267/CFF “Aviso para presentar el informe de la certificación de los terceros autorizados”, contenida en el Anexo 1-A.
XIV. Entregar a la ACSMC de la AGCTI un plan de trabajo en el que manifieste las actividades que llevará a cabo a fin de realizar la entrega efectiva de la información resguardada en la herramienta a que hace referencia la ficha de trámite 262/CFF “Solicitud de validación y opinión técnica para operar como órgano certificador”, contenida en el Anexo 1-A, y deberá utilizar métodos de borrado seguro de dicha información en los dispositivos en los que se encuentra alojada, esta obligación continuará vigente en los supuestos de revocación, cuando se deje sin efectos o no se renueve la respectiva autorización.
XV. Las demás que le encomiende el SAT, a través del oficio de autorización, disposiciones de carácter general o cualquier otro medio.
CFF 32-I, Ley Federal de Protección de Datos Personales en Posesión de los Particulares, RMF 2024 2.18.3., 2.18.6., 2.18.7.

De la certificación del órgano
2.18.6. Para los efectos del artículo 32-I del CFF, los órganos certificadores estarán a lo siguiente:
I. La certificación consiste en verificar que los autorizados por el SAT:
a) Cumplen con los requisitos y obligaciones a su cargo.
b) Han dado cumplimiento a las obligaciones fiscales establecidas en las disposiciones aplicables, respecto de la autorización que les fue otorgada.
c) En materia de tecnologías de la información cumplen con la confidencialidad, integridad, disponibilidad, consistencia y seguridad de la información.
II. Deberán certificar de forma directa, por ende, no podrán realizarlo por conducto de un tercero que opere en calidad de socio comercial, distribuidor o cualquier otra figura análoga.
III. El resultado de la certificación tendrá una vigencia de un año contado a partir de su emisión.
CFF 32-I, RMF 2024 2.18.5.

Del procedimiento de certificación
2.18.7. Para los efectos del artículo 32-I del CFF, los órganos certificadores deberán llevar a cabo los procedimientos de verificación para la emisión de la certificación del cumplimiento de requisitos y obligaciones a que se encuentran sujetos los terceros autorizados por el SAT, de conformidad con lo siguiente:
I. El órgano certificador contratado informará al tercero autorizado la fecha en que se llevará a cabo la visita de sitio, así como los nombres del personal que la instrumentará; la cual se desarrollará en cualquiera de los lugares en que los terceros desarrollen sus actividades o en sus centros de datos.
II. En la visita de sitio a que hace referencia la fracción anterior, el tercer autorizado deberá proporcionar al órgano certificador la documentación, información y evidencia relativa al cumplimiento de los requisitos y obligaciones a su cargo.
III. Se levantará acta en la que se hará constar la recepción de la documentación señalada en la fracción anterior, así como los hechos u omisiones conocidos por el órgano certificador; en el Portal del SAT se publicará el modelo tipo de acta de hechos que debe ser utilizado para efectos de lo anterior.
En la visita de sitio, el órgano certificador se abstendrá de realizar apreciaciones o emitir comentarios o conclusiones, en relación a la documentación, información y evidencia proporcionada por el tercero autorizado sujeto a verificación.
IV. En el supuesto de que el órgano certificador detecte que el tercero autorizado no cumple con alguno de los requisitos y obligaciones le notificará los incumplimientos detectados, otorgándole un plazo de veinte días, para que el tercero presente aclaración para desvirtuar los incumplimientos que fueron detectados o manifestar lo que a su derecho convenga.
V. El órgano certificador emitirá los resultados finales del procedimiento de certificación acompañando la documentación e información que soporte el procedimiento aludido.
Por lo que hace a los incumplimientos detectados por el órgano certificador, referentes a los requisitos y obligaciones en materia de sistemas, operaciones, resguardo y seguridad de la información, a cargo de terceros autorizados, la ACSMC de la AGCTI podrá emitir una opinión de carácter tecnológico, en relación al cumplimiento de los requisitos y obligaciones mencionados, misma que remitirá a la AGJ, para que esta resuelva lo conducente.
CFF 32-I, RMF 2024 2.18.5., 2.18.6.

Causas de revocación de la autorización para operar como órgano certificador
2.18.8. Para los efectos del artículo 32-I del CFF, el SAT podrá revocar la autorización para operar como órgano certificador, cuando este se ubique en cualquiera de los siguientes supuestos:
I. Deje de cumplir con alguno de los requisitos establecidos en la regla 2.18.1., y las fichas de trámite 262/CFF “Solicitud de validación y opinión técnica para operar como órgano certificador” y 263/CFF “Solicitud de autorización para operar como órgano certificador”, ambas contenidas en el Anexo 1-A.
II. No cumplir con alguna de las obligaciones establecidas en la regla 2.18.5., así como las señaladas en el oficio de autorización y las demás que le encomiende el SAT por cualquier otro medio para el mejor cumplimiento de su función como órgano certificador.
III. Impida, obstaculice o se oponga a que la autoridad fiscal lleve a cabo la verificación del cumplimiento de cualquiera de los requisitos y obligaciones que deben observar como órganos certificadores o, en su caso, proporcionen información falsa relacionada con las mismas.
IV. Que de la verificación a los requisitos y obligaciones de los terceros autorizados efectuada por las unidades administrativas del SAT, se detecte que los mismos presentan algún incumplimiento a sus obligaciones o han dejado de cumplir con los requisitos con los cuales fueron autorizados.
V. Se encuentren sujetos a un concurso mercantil, en etapa de conciliación o quiebra.
VI. Hubieran cometido o participado en la comisión de un delito.
VII. Se detecte que tienen participación de manera directa o indirecta en la administración, control o capital de los terceros autorizados o con alguno al que se haya revocado la autorización, o no haya renovado la misma o, en su caso, existiera vinculación entre ellos.
VIII. No ejerzan la autorización que les fue otorgada y renovada en el ejercicio de que se trate, al no elaborar al menos una certificación en un año.
IX. Se detecte que los socios o asociados de un órgano certificador cuya autorización haya sido revocada, constituyan una nueva persona moral para solicitar una nueva autorización, y/o se apoyen en la infraestructura y recursos de este último.
X. Se encuentre publicado en el listado a que se refiere el artículo 69-B, cuarto párrafo del CFF.
XI. Se encuentre como no localizado en el RFC.
XII. Deje de cumplir o atender total o parcialmente cualquier requerimiento de información o no permita a las autoridades fiscales alguna verificación con el propósito de corroborar los requisitos y obligaciones aludidos, o bien, que a través del ejercicio de facultades de comprobación se detecte algún incumplimiento de su función como órgano certificador.
XIII. Emita certificación a un tercero autorizado, y la autoridad detecte que el resultado de la misma es contrario al manifestado por el órgano certificador, o que la misma carezca del sustento técnico y documental o no exista evidencia suficiente que permita acreditar el cumplimiento de los requisitos y obligaciones a cargo del tercero autorizado sujeto a verificación.
XIV. Instrumente los procedimientos de verificación para la emisión de certificación de cumplimiento de obligaciones de terceros autorizados en desapego a lo establecido en las disposiciones de esta Resolución, en el oficio de autorización de que se trate y en las indicaciones que emita el SAT.
XV. Ceda o transmita parcial o totalmente, inclusive a través de fusión o escisión, los derechos derivados de la autorización.
CFF 32-I, 69-B, RMF 2024 2.18.1., 2.18.5.

Verificación del cumplimiento de requisitos y obligaciones de los órganos certificadores
2.18.9. Para los efectos del artículo 32-I del CFF, el SAT, a través de cualquiera de las unidades administrativas que lo integran, podrá realizar la verificación del cumplimiento de requisitos y obligaciones establecidas para los órganos certificadores, a efecto de que continúen autorizados, de conformidad con el siguiente procedimiento:
I. Iniciará a partir de que surta efectos la notificación de la orden de verificación que al efecto se emita.
II. Se levantará acta en la que se hará constar en forma circunstanciada los hechos u omisiones conocidos por los verificadores.
III. Cuando la unidad administrativa correspondiente, detecte que el órgano certificador ha dejado de cumplir con alguno de los requisitos y obligaciones establecidas en las disposiciones fiscales aplicables, notificará los incumplimientos detectados, otorgándole un plazo de diez días, para que manifieste lo que a su derecho convenga y presente la documentación e información con la cual desvirtúe los incumplimientos señalados.
IV. La unidad administrativa que se encuentre a cargo de la citada verificación valorará la documentación e información presentada por el órgano certificador.
V. Se emitirá el resultado final con el cual se dé por finalizada dicha verificación.
En el caso que el resultado final sea que el órgano certificador autorizado no desvirtúo o no comprobó el cumplimiento de las obligaciones relacionadas con la autorización, o bien, se observe que han dejado de cumplir con los requisitos con los que fue autorizado, se hará del conocimiento de la AGJ.
El procedimiento de verificación a que se refiere la presente regla no podrá exceder de seis meses contados a partir de que se levante el acta señalada en la fracción II.
CFF 32-I, RMF 2024 2.18.5., 2.18.8.

Procedimiento para llevar a cabo la revocación de la autorización otorgada para operar como órgano certificador
2.18.10. Para los efectos del artículo 32-I del CFF, el órgano certificador que se ubique en alguno de los supuestos establecidos en la regla 2.18.8., estará a lo siguiente:
I. Detectada la causal de revocación de la autorización para operar como órgano certificador, por conducto de la AGJ se emitirá un oficio en el que se instaurará el inicio del procedimiento de revocación, donde deberán señalarse las causas que lo motivaron y se requerirá al órgano, para que en un plazo de cinco días siguientes a aquel en que surta efectos la notificación del citado oficio manifieste lo que a su derecho convenga, exhiba y aporte la documentación e información que considere pertinente para desvirtuar las causas que motivaron dicho procedimiento, los cuales deberán adjuntarse en medios digitales (disco compacto, memoria USB, entre otros).
II. En el oficio en que se instaure el procedimiento de revocación, se requerirá al órgano certificador, que se abstengan de ofrecer los servicios con motivo de la autorización otorgada por el SAT, hasta en tanto se resuelve dicho procedimiento.
III. La autoridad fiscal procederá a valorar los documentos e información exhibidos por el órgano certificador.
IV. Una vez que el expediente se encuentre debidamente integrado, la autoridad fiscal emitirá la resolución que proceda.
Se entiende que el expediente se encuentra debidamente integrado cuando la AGJ no tenga acción pendiente por llevar a cabo y cuente con la validación de la documentación e información presentada en términos de la anterior fracción III, por parte de la autoridad competente.
V. La resolución del procedimiento de revocación se notificará al órgano certificador.
En el supuesto que la resolución sea en el sentido de revocar la autorización, el SAT dentro de los cinco días siguientes a aquel en que surta efectos la citada notificación, a través de su Portal, dará a conocer al órgano certificador que se le haya revocado la autorización.
Los órganos certificadores a los que se les haya revocado la autorización deberán dar aviso a los terceros autorizados a los que presten sus servicios, en un plazo de tres días, contados a partir del día siguiente en que les sea notificada la resolución, a fin de que los terceros autorizados contraten a otro órgano certificador.
Dichos órganos podrán solicitar nuevamente autorización para operar como órgano certificador hasta después de los doce meses siguientes a la fecha de notificación del oficio de revocación.
CFF 32-I, RMF 2024 2.18.5., 2.18.8., 2.18.9.