Anexo 26 de la Resolución Miscelánea Fiscal para 2015

Códigos de Seguridad en cajetillas de cigarros

Contenido

A.      Definiciones.

B.      Características técnicas y de seguridad del Sistema de códigos de seguridad.

C.      De la revocación de la certificación del Proveedor de Servicios de códigos de seguridad en cajetillas de cigarros.

D.      Causales para hacer efectiva la garantía otorgada por el Proveedor de Servicios Certificado.

 

A.      Definiciones

Para los efectos de las reglas, así como de los apartados del presente Anexo, se entenderá por:

I.           Acceso en línea: Entrada disponible en forma permanente, de manera remota y automatizada a los registros de los Códigos de Seguridad impresos en las cajetillas de cigarros y a la información derivada de los códigos de seguridad.

II.          Cigarro: Para efectos de las reglas contenidas en este Anexo, se deberá entender por cigarro, a los cigarros con o sin filtro elaborados con mezcla de tabacos rubios o de tabacos obscuros, envueltos con papel o cualquier otra sustancia que no contenga tabaco.

III.         Código de seguridad: Código seguro y único por cajetilla, legible a simple vista, que debe imprimirse directamente en las cajetillas de cigarros que se comercialicen en México.

IV.        Enlace dedicado: es una conexión que permite estar conectado permanentemente y de forma segura las 24 horas del día, los 365 días del año, sin requerir el uso de una línea telefónica, es una conexión que no se apaga al dejarla de utilizar y no se enciende al quererla utilizar, es una conexión permanente de alta calidad, con un ancho de banda constante y fijo, tanto en la carga como, en la descarga de información. El servicio de enlace dedicado es contratado por un particular o por una institución pública a una empresa de comunicaciones que brinde dicho servicio.

V.         Información derivada del código de seguridad: Se refiere a la información que emite el Sistema de códigos de seguridad y que consiste en lo siguiente:

a)      Validez del código;

b)      Fecha de manufactura;

c)      Hora de manufactura;

d)      Máquina en la que se fabricó el producto;

e)      Centro de manufactura correspondiente;

f)       Marca comercial;

g)      Nombre del producto;

h)      Tipo del producto;

i)       Cantidad de cigarros por cajetilla;

j)       Mercado de destino;

k)      Reporte de verificaciones;

l)       Denominación o razón social del Proveedor de Servicios Certificado;

m)    Clave en el RFC del Proveedor de Servicios Certificado;

ñ)      Denominación o razón social de la tabacalera;

n)      Clave en el RFC de la tabacalera;

o)      País de origen;

p)      Código consecutivo;

q)      Código de aspecto aleatorio.

VI.        Información desplegada a consumidores: Se refiere a la información que se obtiene de la lectura de información derivada y que podrá ser consultada por los consumidores:

a)      Validez del código;

b)      Fecha de manufactura;

c)      Hora de manufactura;

d)      Marca comercial;

e)      Máquina en la que se fabricó el producto;

f)       Nombre del producto;

g)      Tipo del producto;

h)      Cantidad de cigarros por cajetilla;

i)       Denominación o razón social de la tabacalera;

j)       País de origen.

VII.       Infraestructura de impresión: Son todos aquellos elementos técnicos, de cómputo, de muebles y demás que la tabacalera deberá proveer a su costo.

VIII.      Ley: Ley del Impuesto Especial sobre Producción y Servicios.

IX.        Plan de continuidad de negocio (BCP): Plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada. Son parte del BCP las acciones, procedimientos, personal responsable, así como los recursos humanos, materiales, financieros y tiempos y movimiento necesarios para dar continuidad de los servicios principales, afectados por el incidente que provocó la interrupción.

X.         Plan de Recuperación de Desastres (DRP): Proceso de recuperación que cubre los datos, hardware, software y comunicaciones, para que un negocio, institución o empresa pueda comenzar de nuevo sus operaciones o servicios críticos en el menor tiempo posible en caso de materializarse una amenaza derivada de un desastre natural o causado por humanos. El DRP deberá de incluir las acciones, procedimientos, personal responsable, así como los recursos humanos, materiales, financieros, tiempos y movimientos necesarios para restablecer los servicios vitales para la operación de la organización.

XI.        Plataforma de verificación del SAT: Conjunto de aplicaciones del SAT que permite verificar la validez de los códigos de seguridad a través de la consulta de la información derivada.

XII.       Proveedor de Servicios de códigos de seguridad: La persona moral certificada por la AGCTI del SAT y contratada por las tabacaleras, que deberá contar con la infraestructura tecnológica necesaria para proveer el servicio de registro, control, almacenamiento, entrega de códigos de seguridad a las tabacaleras, así como, el aprovisionamiento de la información retroalimentada de cada uno de los códigos de seguridad que se imprimirán en cada cajetilla de cigarros para su venta en México y la disposición de esta información al SAT.

XIII.      Sistema de Generación de códigos de seguridad: Conjunto de programas y equipos de cómputo destinados y administrados por el SAT para la generación de los códigos de seguridad.

XIV.      Tabacalera: Productor, fabricante o importador de cigarros y otros tabacos labrados, con excepción de puros y otros tabacos labrados hechos enteramente a mano.

XV.       Tiempo real: Momento en que la información contenida en los códigos de seguridad deberá estar a disposición de las autoridades cuando se lleve a cabo la verificación de dichos códigos. Se entenderá que se cumple con la obligación de proporcionar la información en tiempo real, cuando la verificación se logre hasta en un plazo de 72 horas contadas a partir de la impresión del código. El SAT se reserva el derecho de modificar este plazo de acuerdo a las necesidades de la operación, para lo cual notificará al Proveedor de Servicios y a las tabacaleras.

XVI.      Verificación de códigos de seguridad por las autoridades: Procedimiento a través del cual el SAT o cualquier otra autoridad podrá verificar la validez de los códigos de seguridad mediante la Plataforma de Verificación del SAT.

XVII.     Verificación de códigos de seguridad por los consumidores: Consulta que podrán realizar los consumidores para verificar la validez de los códigos de seguridad a través de la Plataforma de Verificación del SAT.

B. Características técnicas y de seguridad del Sistema de códigos de seguridad

I. Características técnicas

Para efectos del presente Anexo, el sistema de códigos de seguridad deberá cumplir con lo siguiente:

1.      Declaración de namespaces. Se verificará la correcta definición de namespaces, haciendo la referencia a la ruta publicada por el SAT en donde se encuentra el esquema de XSD.

2.      Validación de datos requeridos. Se validaran los campos obligatorios de los esquemas de Códigos de Seguridad que cumplan con el esquema de datos definido.

3.      Validaciones adicionales. Se validarán reglas de negocio aplicables.

4.      Validación de flujos. Se validará el cumplimiento del paso por cada componente que integre el servicio de punta a punta.

5.      Confidencialidad, niveles de servicio y Términos y Condiciones. Se deberán mostrar los documentos de Acuerdos de Niveles de Servicio (SLA) y de Convenio de Confidencialidad, entre el Proveedor de Servicios y el Contribuyente.

6.      Servicios generales a los contribuyentes. Se validará la publicación de información sobre los servicios proporcionados y proceso de atención al usuario. Ejemplo: Chat, números de teléfono.

II. Características de Seguridad que deberá cumplir el Proveedor de Servicios de Códigos de Seguridad

1.      Contar con una política de seguridad de la información debidamente autorizada.

2.      Contar con acuerdos de confidencialidad firmados por todo el personal interno o externo que colabore en su empresa.

3.      Contar con controles de acceso que impidan el acceso a las áreas de procesamiento de información a personas no autorizadas.

4.      La infraestructura de comunicaciones utilizada para transmitir, almacenar o imprimir los códigos de seguridad deberá utilizar protocolos seguros de red.

5.      Mantener contratos vigentes de mantenimiento de la infraestructura que utilice para operar el servicio (software, equipo de cómputo, maquinaria, etc.).

6.      Realizar un análisis de riesgos de seguridad formal sobre el proceso de servicio de códigos de seguridad.

7.      Implementar planes de remediación derivados del análisis de riesgos.

8.      Realizar auditorías de cumplimiento de los planes de remediación.

9.      Realizar auditorías de cumplimiento con la política de seguridad.

10.    Dar el servicio de manera directa; sin intermediarios.

11.    Toda la información derivada de la administración de códigos de seguridad deberá estar a disposición del SAT, incluyendo la información mostrada a los Consumidores.

12.    Contar con un plan de mantenimiento programado que incluya toda la infraestructura involucrada (hardware, software, etc.).

13.    Notificar al SAT cuando la comunicación entre el Proveedor y los productores, fabricantes o importadores de tabacos se vea interrumpida por 48 hrs. o más. Dicha notificación se realizará en términos de la ficha de trámite 37/IEPS “Aviso de interrupción de la comunicación” del Anexo 1-A.

14.    Entregar exclusivamente los códigos de seguridad que hayan sido generados y autorizados por el SAT.

15.    Contar con controles de acceso lógicos a la información generada del Proceso de códigos de seguridad que eviten que el personal no autorizado tengan acceso a dicha información.

16.    Contar con un Plan de Continuidad de Negocio (BCP) y un Plan de Recuperación de Desastres (DRP) que incluya como mínimo la infraestructura requerida para operar su servicio.

III.     Condiciones del Sistema

Se deberá garantizar la confiabilidad de la información derivada de los códigos de seguridad incluyendo la información desplegada a consumidores, para lo cual el Proveedor de Servicios de códigos de seguridad deberá cumplir con lo siguiente:

1.      Tener la capacidad de enviar de manera segura la información de la entrega y asignación de folios de los códigos de seguridad y la información derivada.

2.      El proveedor recibirá la información derivada de los códigos de seguridad en tiempo real de acuerdo al momento de la impresión del código de seguridad en la cajetilla correspondiente.

3.      Habilitar un medio de comunicación entre los sistemas del Proveedor de Servicios de códigos de seguridad y los sistemas del SAT. Cabe hacer mención que el medio de comunicación, sea cual fuere, será proveído por el Proveedor.

4.      Implementar un sistema de recepción de códigos de seguridad que contenga las características definidas por el SAT.

5.      El consumidor final podrá acceder a la información derivada del Código de Seguridad.

6.      Asegurarse de que exista disponibilidad de alguna aplicación o aplicaciones para las distintas plataformas móviles capaces de cumplir con el propósito descrito en el punto anterior, la cual deberá ser gratuita, de lo contrario, el Proveedor de Servicios de códigos de seguridad deberá poner a disposición alguna aplicación, que cumpla con las condiciones de gratuidad y facilidad de acceso.

7.      Las tabacaleras deberán abstenerse de generar códigos de seguridad, así como abstenerse de asignar código alguno que no hubiese generado por el SAT y entregado por el Proveedor de Servicios de códigos de seguridad. Todo código de seguridad generado y/o asignado bajo condiciones distintas será considerado como no válido.

8.      Informar al SAT en línea y en tiempo real, de la entrega de uno o más folios a la tabacalera indicando el número de folio, fecha de entrega, hora de entrega y clave en el RFC de la tabacalera a la que se entregó cada folio, así como de los demás campos o datos que el SAT considere necesarios.

9.      Entregar al SAT la información derivada del código de seguridad en línea, en tiempo real, así como cualquier cambio de estado de los códigos de seguridad entregados a la tabacalera, así como de la impresión y uso de los mismos en las cajetillas de cigarros.

10.    Verificar que las comunicaciones y transmisiones entre la tabacalera y el Proveedor de Servicios de códigos de seguridad, así como entre el Proveedor de Servicios de códigos de seguridad y la plataforma del SAT, sean seguras, dichas condiciones de seguridad serán a entera satisfacción del SAT y de acuerdo a las normas internacionales generalmente aceptadas en la materia.

11.    Usar exclusivamente los códigos de seguridad que hayan sido proporcionados por el SAT.

12.    El Proveedor de Servicios de códigos de seguridad deberá abstenerse de subcontratar a un tercero que proporcione el servicio de códigos de seguridad (registro, control, almacenamiento y entrega de códigos de seguridad a las tabacaleras, así como, el aprovisionamiento de la información retroalimentada de cada uno de los códigos de seguridad y la disposición de esta información al SAT).

13.    Deberá poner a disposición del SAT la información derivada del código de seguridad por medio de la retroalimentación de acuerdo a las interfaces definidas por el SAT para este propósito.

14.    Implementar un procedimiento de notificación al SAT sobre cualquier incidente de seguridad que ponga en riesgo la confidencialidad de los códigos generados.

IV.     Características del código de seguridad

El código de seguridad que se deberá imprimir en las cajetillas deberá cumplir con las siguientes características:

1.      Longitud de hasta 15 caracteres alfanuméricos.

2.      Apariencia aleatoria.

3.      Único e irrepetible.

4.      Cifrado.

5.      Apto para la lectura humana y dispositivos de lectura automatizada.

C.      De la revocación de la certificación del Proveedor de Servicios de códigos de seguridad en cajetillas de cigarros

El Proveedor de Servicios de códigos de seguridad en cajetillas de cigarros que obtenga la certificación y los productores, fabricantes e importadores de cigarros y otros tabacos labrados están obligados a atender cualquier requerimiento o verificación que el SAT, a través de su área tecnológica o de auditoría, le realice a fin de corroborar el debido cumplimiento de los requisitos y obligaciones previstas en las reglas 5.2.40. y 5.2.44. de la RMF, así como en el presente Anexo y la ficha de trámite 33/IEPS “Solicitud de certificación como Proveedor de Servicios de Códigos de Seguridad en cajetillas de cigarros”, que como Proveedor de Servicios Certificado le competen, por lo que en caso que deje de cumplir o atender total o parcialmente cualquier requerimiento de información o no permita alguna verificación con el propósito de corroborar los requisitos y obligaciones aludidos, o bien, que a través del ejercicio de facultades de comprobación se detecte algún incumplimiento, el SAT a través de la AGCTI, según corresponda, notificará al Proveedor de Servicios Certificado las omisiones, los incumplimientos o inconsistencias detectadas, otorgándole un plazo de 15 días hábiles prorrogables, contados a partir del día en que surta efectos la notificación, para que el Proveedor presente escrito libre ante la ALSC que corresponda a su domicilio fiscal, en donde aclare dichas omisiones, incumplimientos e inconsistencias, o proponga un plan para su resolución, el cual deberá ser aprobado por el SAT, o bien manifieste lo que a su derecho convenga.

Si transcurrido el plazo señalado en el párrafo anterior, el Proveedor no aclara y comprueba el cumplimiento de sus obligaciones, el SAT a través de la AGCTI podrá dejar sin efectos la certificación, y en su caso hacer efectiva la garantía a que se refiere la ficha de trámite 33/IEPS “Solicitud de certificación como Proveedor de Servicios de Códigos de Seguridad en cajetillas de cigarros”, cuando se presenten los supuestos señalados en el Apartado D de este Anexo, así como también procederá la revocación en los casos en que el SAT confirme el incumplimiento, aún y cuando se haya presentado la aclaración, la cual se considerará improcedente derivado de la comprobación que realice dicho órgano desconcentrado.

El proveedor a quien se le haya dejado sin efectos el certificado, se publicará en la página de Internet del SAT y no podrá solicitar de nueva cuenta la certificación en los doce meses siguientes a aquél en el que se hubiese dejado sin efectos dicha certificación, además de ser sujeto de la sanción a que se refiere el artículo 86-H con relación al 86-G, segundo párrafo del CFF.

En el supuesto que el Proveedor de Servicios Certificado, aclare y resuelva las omisiones, el incumplimiento o las inconsistencias, en el plazo anteriormente señalado, el mismo continuará operando al amparo de su certificación.

El Proveedor de Servicios que se le haya dejado sin efectos la certificación, deberá garantizar al productor, fabricante o importador de cigarros y otros tabacos labrados la continuidad del servicio dentro de los 90 días naturales siguientes a que le sea notificada la resolución que deja sin efectos la certificación, plazo en el cual el contribuyente deberá contratar a un nuevo Proveedor de Servicios Certificado.

La certificación y nulidad de la misma a que se refiere este Anexo, surtirán efectos a partir de su publicación en la página de Internet del SAT.

La certificación como Proveedor de Servicios de Códigos de Seguridad en cajetillas de cigarro, podrá dejarse sin efectos por el SAT, por cualquiera de las siguientes causas:

I.        Cuando se graven, cedan o transmitan parcial o totalmente los derechos derivados de la certificación para fungir como proveedor, sin aprobación previa del SAT.

II.       Cuando incumpla con las obligaciones señaladas en el artículo 19, fracción XXII de la Ley del IEPS, o cualquiera de las previstas en las reglas 5.2.40. y 5.2.44. de la RMF, así como en el presente Anexo.

III.      Cuando se declare por autoridad competente la quiebra o suspensión de pagos del titular de la certificación.

IV.     Cuando el titular del certificado impida, obstaculice o se oponga a que la autoridad fiscal lleve a cabo la verificación y/o supervisión del cumplimiento de cualquiera de los requisitos y obligaciones que debe cumplir como Proveedor Certificado, o bien, proporcione información falsa relacionada con las mismas, incluso si aquélla es proporcionada por cualquiera de las personas relacionadas con la actividad para la cual fue certificado.

V.      Cuando transcurrido el plazo de 30 días hábiles no desvirtúe el o los incumplimientos detectados por la AGCTI en materia de tecnologías de la información, confidencialidad, integridad, disponibilidad, consistencia y seguridad de la información establecidos en las disposiciones fiscales.

VI.     Cuando entre en proceso de liquidación, concurso mercantil, se fusione, se escinda o su órgano de dirección haya tomado acuerdo de extinción de la sociedad, según sea el caso deberá dar aviso a la autoridad fiscal.

          Al día siguiente en que sea presentado el aviso señalado en el párrafo anterior, el Proveedor de Servicios Certificado, deberá hacer del conocimiento de sus clientes que ha iniciado su liquidación, concurso mercantil, fusión, escisión o acuerdo de extinción jurídica de la sociedad, a efecto de que los mismos estén en posibilidad de contratar otro proveedor.

D.      Causales para hacer efectiva la garantía otorgada por el Proveedor de Servicios Certificado

El SAT hará efectiva la garantía otorgada por el Proveedor de Servicios Certificado, entre otras causas, por las siguientes:

I.        Cuando la certificación se deje sin efectos por actualizarse algunas de las causales señaladas en el Apartado C, fracciones II a VI del presente Anexo.

II.       Cuando resulten falsas las manifestaciones bajo protesta de decir verdad que haya realizado el Proveedor de Servicios Certificado.

III.      Cuando se compruebe que el Proveedor de Servicios Certificado tenga participación de manera directa o indirecta en la administración, control o capital con las tabacaleras a las que preste el servicio, o cuando exista vinculación entre ellas de acuerdo con el artículo 68 de la Ley Aduanera con independencia de las actividades a que se dediquen, que ponga en duda la imparcialidad y/o transparencia de la prestación del servicio.

IV.     Cuando se compruebe que el Proveedor de Servicios Certificado utilice un sistema diseñado o utilizado por las tabacaleras.

Atentamente

Ciudad de México a 17 de junio de 2015.- El Jefe del Servicio de Administración Tributaria, Aristóteles Núñez Sánchez.- Rúbrica.