Con el fin de apoyar a los contribuyentes en la selección de un Proveedor Autorizado de Certificación (PAC) hemos realizado un análisis de la herramienta gratuita que estos ofrecen.


Para este estudio se tomaron en cuenta los puntos que deben cumplir los PACs según la pagina del SAT “Requisitos para ser PAC” http://www.sat.gob.mx/sitio_internet/asistencia_contribuyente/principiantes/comprobantes_fiscales/66_19072.html


En la cual se menciona que para ser un PAC es necesario cumplir con los requisitos de la ficha 124/CFF. En esta ficha se hace referencia a una matriz de control la cual enumera los criterios con los que debe de trabajar un PAC, entre los mas importantes el hecho de que el PAC debe proveer un canal seguro para el transporte de la información del contribuyente, es decir una conexión encriptada.


Ademas de la matriz de control las aplicaciones gratuitas deben cumplir con los requisitos mínimos mencionados en el punto F de la misma ficha. Es su obligación ofrecer el servicio básico GRATUITO de emisión de comprobantes.


Con base en estos documentos se procedió a crear una cuenta con cada uno de los proveedores listados por el SAT en el siguiente enlace:http://www.sat.gob.mx/sitio_internet/asistencia_contribuyente/principiantes/comprobantes_fiscales/66_19264.html


El proceso

La finalidad del proceso fue obtener un comprobante fiscal digital del tipo Factura. Nos enfocaremos en puntos contenidos en los documentos mencionados, así como otros que consideramos importantes como por ejemplo la cancelación de comprobantes por medio de la aplicación, envio del comprobante por medido de email entre otros.


Debido a que la información requerida para generar un comprobante fiscal es delicada se optó por solo utilizar los servicios de los PAC que cumplieran con el punto de conexiones protegidas, de tal forma que se hizo una evaluación del grado de seguridad ofrecida por el PAC según el nivel de acceso, para el registro no se tomo como requerido la conexión cifrada siempre y cuando no solicitase la carga de los certificados de sello digital (CER, KEY, y clave de archivo key) en este paso, si no se cumplía con este requisito se daba por terminado el análisis, así mismo algunos PACs como parte del registro del servicio solicitaban acceso a la firma FIEL desde sus aplicaciones, este hecho aunque tiene la ventaja de que le agrega validez al mismo también crea riesgos ya que se tiene acceso a la firma la cual, según el SAT debe ser resguardada por el contribuyente, por lo que en estos casos también se dio por terminado el análisis. Solo se hizo la excepcion para el caso del servicio de emisión del SAT.


Se determino que después de accesar al sistema con un usuario y contraseña la aplicación debía entrar en un modo de conexión segura por lo que si se omitía la conexión segura dentro de la aplicación se tomaba por terminado el análisis.


Una vez dentro de la aplicación se procedió a generar un comprobante CFDI Factura, Descargar los archivos generados (XML, representación Impresa si hubiese) y después si la aplicación ofrecía la opción, cancelarlo. Se utilizo el navegador Firefox v12 para ingresar en las aplicaciones y en caso de no funcionar se procedió a hacer una segunda prueba con Internet Explorer 8 y en alugnos casos una tercera con Internet Explorer 7, de tal forma que aunque se generó el comprobante CFDI algunas aplicaciones presentan problemas de compatibilidad.


Cabe mencionar que según los requerimientos planteados por el SAT desde el inicio de proceso de registro se debería iniciar con una conexión segura ya que se hace un intercambio de información, que en algunos casos incluye información personal sensible.


Problemas encontrados.

No cumple con el requerimiento de conexiones seguras.
Algunos PACs no cuentan con ningún tipo de seguridad en sus conexiones.


No hace el cambio a conexión segura.
Algunos PACs aunque si cuentan con una conexión segura no hacen el cambio de manera automática de tal forma que si el usuario no realiza el cambio la información se transmite sin ningún tipo de cifrado.


Ambigüedades en el modelo de servicio.
En la pagina del SAT se muestra la liga con la leyenda “Servicio gratuito de generación de CFDI” sin embargo algunas veces no es un acceso directo, por lo que es necesario buscarlo en el portal del PAC, y en otros casos al momento de dar de alta es necesario especificar el “paquete” o modalidad de contratación por lo que es posible que el usuario accidentalmente accese a una modalidad de servicio que no es gratuita, incluso algunos manejan el servicio gratuito como de “prueba” y muestran leyendas y “nagscreens” que informan de limites en cuanto a la facturación o caducidad de la cuenta con el fin de que el usuario contrate el modelo de pago.


Restricciones. Solo un PAC “secuestro” el comprobante inhabilitando la opción de descarga debido a que se encontraba en la modalidad gratuita, mostrando un mensaje de que se daría acceso al comprobante después de 24hrs.


Fallas en el sistema. Fallas en la aplicación al momento de emitir, accesar o utilizar la aplicación, así también como incompatibilidades con navegadores. Fallas en sus sistemas de DNS, registro de dominio, o servidores de tal forma que fue imposible acceder o registrar una cuenta.


Respuesta nula a solicitud de contacto. Algunos PACs requerían de una autorización para el proceso de registro, y aunque se solicito por medio de sus formularios jamas se obtuvo respuesta. Recordemos que para la certificación deben garantizar un tiempo de respuesta no mayor a 2 horas y una solución en un plazo de 8hr.


Solo un PAC de los evaluados permite la eliminación de la cuenta, pero es necesario utilizar la fiel para llevarlo a cabo por lo que no se hizo la prueba.


Ningún PAC ofreció un ambiente de pruebas para acceder a la aplicación sin necesidad de registrarse. (El único que lo ofrece no funciona los accesos que proporciona).


El servicio de emisión del SAT.

El portal del SAT para cancelaciones de CFDI, también cuenta con el servicio de emisión, para activarlo es necesario firmar el contrato de servicios con la FIEL. El portal presenta algunos inconvenientes, solo funciona con Internet Explorer, ademas de que es necesario el complemento Silver Light, algunas veces tuvimos problemas para ingresar y en otras entraba en un ciclo de redirección constante, no almacena el certificado CSD ni el archivo KEY de tal forma que hay que estar cargándolos cada vez, esto puede ser una ventaja o problema dependiendo del punto de vista del usuario. No ofrece el servicio de envió por email, catálogos de clientes o productos. Las conexiones están cifradas desde el inicio.


Permite hacer consultas de todos los CFDI emitidos incluso los que se certificaron con otros PAC, descargar el archivo XML.


Algunos resultados.

En muchos de los casos las interfaces son las mismas para los modelos de pago y gratuito, con las opciones “premium” o de paga deshabilitadas, por lo que tomando como base esto podemos obtener un panorama general del tipo de servicio que ofrecen y las practicas de seguridad que siguen.


Recordemos también que los puntos de la matriz de control debe aplicar a cualquier modelo ya sea gratuito o de pago, por lo tanto nos parece alarmante que existan tantas irregularidades en los PACs.


El listado de PACs en el sitio del SAT alcanza 54, sin embargo, solo fue posible generar un comprobante en 21 casos, es decir menos de la mitad (Incluso omitiendo del total los casos en los que se detuvo la prueba por ser necesario la FIEL, apenas alcanza la mitad), de este listado existían enlaces que no tienen un dominio registrado a la fecha del análisis y otros que simplemente no funcionan evidenciando la poca atención que se les pone a estas entidades autorizadas.


La certificación de un PAC debería ser resultado del cumplimiento de los puntos mencionados y que finalmente “La aplicación deberá habilitar la emisión de Comprobantes Fiscales Digitales por Internet (CFDI). ”


Hay que mencionar también que no todos están operando de manera irregular (por lo menos en cuanto a lo que se puede evaluar desde las interfaces publicas) y hay varios que si cumplen e incluso superan las expectativas del servicio que se ofrece al usuario.


Listado de resultados.

En el listado de resultados se enumeran algunos de los puntos que se evaluaron, y en su caso se muestra una nota con información adicional, también se incluye una liga al comprobante generado, hay que notar que el hecho de haber generado un comprobante no quiere decir que la aplicación esta libre de errores., ya que el objetivo fue el de obtener un comprobante y se intento varias veces con diferentes navegadores hasta conseguir emitir el comprobante. Esta no es una evaluación de la facilidad, las interfaces de usuario y solo se limita a informar si es posible generarlo o no, ademas de otras características básicas.


Información sobre los PAC y requisitos.
PAC. Un Proveedor Autorizado de Certificación de CFDI (PAC), es aquella persona moral que cuenta con autorización del Servicio de Administración Tributaria para validar los CFDI generados por los contribuyentes, asignarles el folio e incorporarles el sello digital del Servicio de Administración Tributaria. Asimismo, tienen como obligación, enviar al SAT copia de los CFDI que validen de sus clientes. http://www.sat.gob.mx/sitio_internet/asistencia_contribuyente/principiantes/comprobantes_fiscales/66_19513.html


Para obtener la autorización como Proveedor de Certificación de CFDI autorizado, los contribuyentes deberán cumplir con los requisitos contenidos en la ficha 124/CFF "Solicitud para obtener autorización para operar como proveedor de certificación de CFDI” publicada en el Anexo 1-A de la RMF vigente. ftp://ftp2.sat.gob.mx/asistencia_servicio_ftp/publicaciones/cfdi/SolicitudPAC124_CFF.pdf


Punto C. de la ficha 124/CFF.
Demostrar que cumplen con la matriz de control publicada en la página de Internet del SAT; se considerará que se cumple, para efectos de la presentación de la solicitud, anexando al escrito de solicitud la impresión de dicha matriz de control, firmada al calce y rubricada en todas sus fojas por el mismo apoderado o representante legal que firma el escrito de solicitud de autorización, conteniendo la leyenda “Manifiesta mi representada que cumple completamente con los puntos contenidos en esta matriz de control y que cuenta con evidencia del cumplimiento de cada uno de los puntos ahí expresados” .


Matriz de control señalada en el punto c. de la ficha 124/CFF.
ftp://ftp2.sat.gob.mx/asistencia_servicio_ftp/publicaciones/cfd/MatrizControlesCFDI.pdf


Punto f ficha 124/CFF.
f. Manifestar bajo protesta de decir verdad que validará y certificará de manera gratuita los CFDI que generen los contribuyentes a partir de la aplicación gratuita, así como cumplir con las características funcionales, servicios generales y niveles de servicios mínimos, los cuales están publicados en la página de Internet del SAT.


Aunque se hizo el esfuerzo de llevar a cabo la pruebas y el registro de resultados con el mínimo de errores es posible que exista algún punto que este registrado incorrectamente, por lo que en ultima instancia es responsabilidad del lector el uso de esta información.


Si ha encontrado algún detalle o sugiere hacer hacer alguna corrección favor de hacernos llegar la información para verificarlo.