P.2.0610.02-2015 Clasificado

SUBDIRECCIÓN DE MANTENIMIENTO Y LOGISTICA
SUBCOMITÉ TÉCNICO DE NORMALIZACIÓN
ESPECIFICACIÓN TÉCNICA INTERNA PARA PROYECTO DE

OBRAS
INTEGRACIÓN Y SEGURIDAD DE DATOS DE

PROCESOS INDUSTRIALES
P.2.0610.02:2015
SEGUNDA EDICIÓN
Agosto 2015
1/59
Segunda Edición P.2.0610.02:2015
PREFACIO
Esta Especificación Técnica se realizó en atención y cumplimiento a:
 Estatuto Orgánico de Petróleos Mexicanos

 Estatuto Orgánico de Pemex Exploración y Producción
 Políticas y Lineamientos para Procura de Abastecimiento
 Disposiciones Generales de Contratación para Petróleos Mexicanos y sus Empresas Productivas
Subsidiarias
En la elaboración de esta Especificación Técnica participaron:
Petróleos Mexicanos.
Pemex Exploración Producción.
Pemex Gas y Petroquímica Básica.
Pemex Petroquímica.
Pemex Refinación.
Participantes externos:
Instituto Mexicano del Petróleo

ABB México S.A. de C.V.
Emerson Process Management S.A. de C.V.
Honeywell Process Solutions S. A. de C. V.
Rockwell Automation de México S. A. de C. V.
Schweitzer Engineering Laboratories S. A. de C. V.
Siemens S. A. de C. V.
Yokogawa de México S.A. de C.V.
2/59
ÍNDICE DE CONTENIDO Página
0. Introducción ........................................................................................................................... 6
1. Objetivo ................................................................................................................................... 6
2. Alcance ................................................................................................................................... 6
3. Campo de aplicación ............................................................................................................. 7
4. Actualización .......................................................................................................................... 7
5. Referencias ............................................................................................................................. 7
6. Definiciones ............................................................................................................................ 8
7. Símbolos y Abreviaturas ....................................................................................................... 13
8. Desarrollo ............................................................................................................................... 15
8.1 Generalidades .......................................................................................................................... 15
8.2 Integración y seguridad de datos de procesos industriales (ISDPI) ........................................ 15
8.2.1 Arquitectura del ISDPI.............................................................................................................. 15
8.2.2 Niveles de la arquitectura para la ISDPI .................................................................................. 16
8.2.3 Soluciones y esquemas tecnológicos para la seguridad de datos de TR de la arquitectura

de la ISDPI ............................................................................................................................... 16
8.2.4 Categorización de instalaciones .............................................................................................. 18
8.3 Integración y seguridad de datos en el nivel de proceso ......................................................... 19
8.3.1 Integración de datos en el nivel de proceso ............................................................................ 19
8.3.2 Seguridad de datos en el nivel de proceso .............................................................................. 19
8.3.3 Especificaciones técnicas en el nivel de proceso .................................................................... 20
8.3.4 Protocolos de comunicación en el nivel de proceso ................................................................ 20
8.4 Integración y seguridad de datos en el nivel de estación ........................................................ 20
8.4.1 Integración de datos en el nivel de estación ............................................................................ 20
8.4.2 Seguridad de datos en el nivel de estación ............................................................................. 21
8.4.3 Especificaciones técnicas en el nivel de estación ................................................................... 23
3/59
8.4.4 Protocolos de comunicación en el nivel de estación ............................................................... 23
8.5 Integración y seguridad de datos en el nivel de supervisión ................................................... 23
8.5.1 Integración de datos en el nivel de supervisión ....................................................................... 23
8.5.2 Seguridad de datos en el nivel de supervisión ........................................................................ 25
8.5.3 Especificaciones técnicas en el nivel de supervisión .............................................................. 25
8.5.4 Protocolos de comunicación en el nivel de supervisión .......................................................... 25
8.6 Integración y seguridad de datos en el nivel de evaluación y planeación ............................... 26
8.6.1 Integración de datos en el nivel de evaluación y planeación................................................... 26
8.6.2 Seguridad de datos en el nivel de evaluación y planeación .................................................... 28
8.6.3 Especificaciones técnicas en el nivel de evaluación y planeación .......................................... 28
8.6.4 Protocolos de comunicación en el nivel evaluación y planeación ........................................... 28
8.7 Integración y seguridad de datos en el nivel de toma de decisiones ...................................... 28
8.7.1 Integración de datos en el nivel de toma de decisiones .......................................................... 29
8.7.2 Seguridad de datos en el nivel de toma de decisiones ........................................................... 29
8.7.3 Especificaciones técnicas en el nivel de toma de decisiones.................................................. 29
8.7.4 Protocolos de comunicación en el nivel de toma de decisiones ............................................. 29
8.8 Manejo de información en tiempo real ..................................................................................... 29
9. Responsabilidades ................................................................................................................ 30
9.1 Petróleos Mexicanos, Empresas Productivas Subsidiarias y Empresas Filiales .................... 30
9.2 Proveedor y/o contratista ......................................................................................................... 30
10. Concordancia con normas mexicanas o internacionales ........................................... 31
11. Bibliografía ............................................................................................................................. 31
12. Anexos .................................................................................................................................... 33
12.1 Arquitectura tecnológica de la automatización integrada de Pemex ....................................... 33
4/59
12.2 Niveles de cobertura de la Pirámide de automatización para la integración y seguridad de

datos de procesos industriales ................................................................................................ 34
12.3 Nomenclatura para la identificación de variables en la base de datos de los servidores

integradores historiadores ....................................................................................................... 34
12.4 Nomenclatura para la identificación de servidores integradores historiadores de Pemex ...... 38
12.5 Intercambio de datos entre servidores integradores historiadores .......................................... 39
12.6 Especificaciones técnicas de la infraestructura de equipo de cómputo .................................. 40
12.7 Tipos de sistema digitales de monitoreo y control en las instalaciones industriales de Pemex 42
12.8 Seguridad de la red industrial .................................................................................................. 44
12.9 Formato para solicitud de cuentas VPN .................................................................................. 59
5/59
0. Introducción
Dentro de las principales actividades que se llevan a cabo en Petróleos Mexicanos, Empresas Productivas
Subsidiarias y Empresas Filiales (Pemex), se encuentran la extracción, recolección, procesamiento primario,
refinación, petroquímica básica, almacenamiento, medición, distribución y transporte de hidrocarburos,
actividades que requieren del diseño, construcción, arranque, operación, mantenimiento de instalaciones, así
como de la adquisición de materiales y equipos requeridos para cumplir con eficiencia y eficacia los objetivos
de la empresa.
La automatización de los procesos industriales de Pemex, se ha llevado a cabo mediante la instalación de

Sistemas Digitales de Monitoreo y Control “SDMC” con el objetivo de monitorear y controlar en tiempo real
aquellos procesos rutinarios, riesgosos y complicados. Pemex identificó que la integración de los datos que
se generan en estas instalaciones, plantas o procesos le agrega valor al negocio y es fundamental en la
toma de decisiones.
Como consecuencia, Pemex desarrollo una estrategia para la Integración de Sistemas de Automatización
Industrial, donde uno de sus objetivos es la integración y la seguridad de los datos de procesos industriales.
Para la integración y seguridad de los datos de proceso generados en las instalaciones de producción,
refinación, petroquímica básica, transporte, distribución y almacenamiento de hidrocarburos se les debe
transferir en tiempo real, proporcionándoles disponibilidad y confiabilidad, y llevar a cabo su distribución en
línea, con la finalidad de suministrar información de Tiempo Real, hacia los sistemas de integración y/o de
análisis localizados en las áreas operativas y hacia los sistemas de información empresariales de Pemex,
para el mejor control y administración de las operaciones de las instalaciones; así como para la planeación y
toma de decisiones del negocio.
Para lograr lo anterior, se debe contar con una normatividad actualizada acorde con las exigencias de los
trabajos a desarrollar y que cumpla con los requerimientos de integración y seguridad de los datos para
contar con instalaciones eficientes y seguras.
Con el objeto de unificar criterios, aprovechar las experiencias dispersas y conjuntar resultados de las
investigaciones nacionales e internacionales, Pemex Exploración y Producción, emite esta Especificación
Técnica con la finalidad de determinar los requisitos para el diseño, adquisición, construcción y operación
de bienes o servicios, para la Integración y Seguridad de Datos de Procesos Industriales de las
instalaciones existentes y futuras de Pemex.
1. Objetivo
Establecer los requisitos técnicos y documentales que deben cumplir los proveedores y contratistas en la
ejecución de los servicios de integración y seguridad de datos de procesos industriales que se obtienen de
las instalaciones automatizadas de Petróleos Mexicanos, Empresas Productivas Subsidiarias y Empresas
Filiales.
2. Alcance
Esta Especificación Técnica cubre los requisitos técnicos mínimos que se deben cumplir en la contratación
de los servicios de diseño, especificación, adquisición, instalación y pruebas de la integración de sistemas
6/59
digitales de automatización industrial, basados en la integración y seguridad de datos de los procesos

industriales de las instalaciones automatizadas existentes y futuras de Pemex, consideradas en la Estrategia
de Automatización Integrada de Pemex, y comprende los siguientes niveles de la pirámide de
automatización:
 Proceso (Instrumentación)
 Estación (Controlador)
 Supervisión (Monitoreo y acciones de control)
 Evaluación y planeación
 Toma de decisiones
Esta Especificación Técnica cancela y sustituye a la NRF-225-PEMEX-2009 de 26 de marzo de 2009.
3. Campo de aplicación
Esta Especificación Técnica es de aplicación general y observancia obligatoria en la contratación de los

bienes y servicios o trabajos por administración directa, objeto de la misma, que lleven a cabo los centros de
trabajo de Pemex Exploración y Producción. Por lo que debe ser incluida en los procedimientos de
contratación: licitación pública, Invitación a cuando menos tres personas, o adjudicación directa, como parte
de los requisitos que debe cumplir el proveedor, contratista, o licitante.
4. Actualización
Esta Especificación Técnica se debe revisar cada 5 años o antes si las sugerencias y recomendaciones de
campo lo ameritan.
A las personas e instituciones que hagan uso de este documento normativo técnico, se solicita comuniquen
por escrito las observaciones que estimen pertinentes, dirigiendo su correspondencia a:
Pemex Exploración y Producción

Subdirección de Auditoría de Seguridad Industrial y Protección Ambiental
Gerencia de Auditoría y Normatividad de Seguridad Industrial y Protección Ambiental, SASIPA
Av. Adolfo Ruiz Cortines 1202 Col. Oropeza, Villahermosa, Tab., Edificio Pirámide 10° piso
Atención: Ing. Marco A. Delgado Avilés
Teléfono directo 9933177034, conmutador 9933106262, ext. 21921
Correo electrónico: marco.antonio.delgado@pemex.com
5. Referencias
5.1 NOM-008-SCFI-2002. Sistema General de Unidades de Medida.
5.2 IEC 62443-1-1 2009. Industrial communication networks – Network and system security – Part 1-1:
Terminology, concepts and models, Edition 1.0. (Redes de comunicación industrial – Redes y
sistemas de seguridad – Parte 1-1: Terminología, conceptos y modelos, Edición 1.0)
7/59
Establishing an industrial automation and control system security program Edition 1.0. (Redes de
comunicación industrial – Redes y sistemas de seguridad – Parte 2-1: Establecimiento de un
programa de seguridad del sistema de automatización y control industrial, Edición 1.0)
Security technologies for industrial automation and control systems Edition 1.0. (Redes de
comunicación industrial – Redes y sistemas de seguridad – Parte 3-1: Tecnologías de seguridad
para sistemas de control y automatización industrial, Edición 1.0)
5.5 IEC 62443-3-3 2009 and CORR 1. Industrial communication networks – Network and system
security – Part 3-3: System security requirements and security levels Edition 1.0. (Redes de
comunicación industrial – Redes y sistemas de seguridad – Parte 3-3: Requerimientos de sistemas
de seguridad y niveles de seguridad, Edición 1.0).
5.6 ISO/IEC 27001 2013. Information technology - Security techniques - Information security
management systems - Requirements Second Edition. (Tecnología de la información – Técnicas de
seguridad – Sistemas de administración de seguridad de la información).
5.7 ISO/IEC 27002 2013. Information technology - Security techniques - Code of practice for information
security controls Second Edition. (Tecnología de la información – Técnicas de seguridad – Código de
prácticas para controles de seguridad de la información segunda edición).
5.8 NRF-022-PEMEX-2008. Redes de cableado estructurado de telecomunicaciones para edificios

administrativos y áreas industriales.
5.9 NRF-046-PEMEX-2012. Protocolos de comunicación en sistemas digitales de monitoreo y control.
5.10 NRF-105-PEMEX-2012. Sistemas digitales de monitoreo y control.
6. Definiciones
Para efectos de esta Especificación Técnica, se entiende por:
6.1 ADITEP
Administración de Datos e Información Técnica de Pemex Exploración y Producción, es un sistema de

información geográfica donde actualmente se localiza información técnica de los procesos de exploración y
producción, así como la hidrografía, orografía, asentamiento humanos, vías de comunicación, entre otros,
del país.
6.2 Amenaza
Amenaza de una alteración deliberada y no autorizada de la información incluida en el sistema o del estado
del sistema, referencias de amenazas relativas a la seguridad: modificación de mensajes, reproducción de
mensajes, inserción de mensajes falsificados, usurpación de identidad de un usuario autorizado, negación
de servicio, modificación malintencionada de la información, entre otros.
8/59
6.3 Ataque
Actividades realizadas por virus y “hackers” para obviar los mecanismos de seguridad de un sistema o
aprovechar sus deficiencias, en los ataques directos a un sistema aprovechan las deficiencias en los
algoritmos, principios o propiedades de un mecanismo de seguridad y en los ataques indirectos obvian el
mecanismo o hacen que el sistema utilice el mecanismo incorrectamente.
6.4 Autenticación
Medida de seguridad diseñada para proteger un sistema de comunicación en contra de la aceptación de

transmisiones o simulaciones fraudulentas, por medio del establecimiento de la validez de la transmisión,
mensaje u originador. Acto de verificar la identidad reclamada de una entidad.
6.5 Autorización
Privilegios o derechos concedidos a un usuario o entidad para acceder, leer, modificar, insertar o borrar
ciertos datos o para ejecutar ciertos programas.
6.6 Base de datos del tipo series de tiempo
Solución de almacenamiento de datos históricos que se desarrolla a partir de una base de datos por
excepción o a través de tecnologías propietarias.
6.7 Centro de integración
Cualquier instalación administrativa, ya sea de sector, activo o región, en donde se lleve a cabo la
integración de datos provenientes de proceso.
6.8 Centro de operaciones integradas
Infraestructura necesaria para la integración de las funciones de los centros regionales de atención y
respuesta a emergencias, centros regionales de estudios y evaluaciones, centros de visualización y cuartos
centrales de monitoreo y control.
6.9 Ciberseguridad Industrial
Procedimientos, interacciones y componentes de hardware y software dirigidos a proteger de los ataques

cibernéticos a los sistemas de control de procesos industriales.
6.10 Confiabilidad
Capacidad de una unidad funcional para cumplir una función requerida bajo ciertas condiciones en un
intervalo dado de tiempo.
6.11 Confidencialidad
Propiedad que garantiza que los datos de procesos industriales no se tienen a disposición ni se divulga a
usuarios, entidades y procesos no autorizados.
9/59
6.12 Controles de acceso
Aseguran que solo personal o dispositivos autorizados son permitidos a acceder a los elementos de red,
información almacenada, al flujo de la información, servicios y aplicaciones.
6.13 Cortafuegos (dedicados) “firewall”
Dispositivo usado para regular el control de acceso de y para una red, así como para proteger a las
computadoras conectadas a la misma, de usos no autorizados. Los cortafuegos utilizan mecanismos que
bloquean o permiten cierto tipo de tráfico, regulando el flujo de información.
6.14 Datos de procesos industriales
Se refiere a los datos de Tiempo Real de los procesos (para monitoreo y/o control) generados por los
sistemas digitales de monitoreo y control, sistemas instrumentados de seguridad o sistemas digitales
dedicados, que se establecen en el Anexo 12.7 de la presente Especificación Técnica.
6.15 Disponibilidad
Garantiza que se tendrá acceso, siempre y cuando sea autorizado, a los elementos de la red, la información
almacenada, los flujos de información, los servicios y las aplicaciones, debido a eventos que afecten la red.
6.16 Encriptación
Técnica de seguridad de información en la cual se traducen los datos dentro de un código secreto de forma
que son ininteligibles para quien no tenga la clave para su decodificación.
6.17 Entidad
Ser humano, organización, elemento de equipos informáticos o un programa informático.
6.18 Especificación de transferencia de información de pozos (WITSML)
Formato de comunicaciones usado para la transferencia de una amplia variedad de datos de pozos, de una
computadora hacia otra.
6.19 “Hacker”
Persona que aprovecha los errores de seguridad para acceder ilegalmente a redes y sistemas informáticos
ajenos.
6.20 Integración y Seguridad de Datos de Procesos Industriales (ISDPI)
Recolección, almacenamiento y respaldo de los datos generados en los procesos de producción, distribución
y almacenamiento de hidrocarburos en tiempo real, para proporcionarles integridad, disponibilidad y
confiabilidad; y llevar a cabo la distribución en línea de los mismos, para el control y administración de las
operaciones de producción de las instalaciones; así como para la planeación y toma de decisiones del
negocio.
10/59
6.21 Integridad del dato
Protección del dato garantizando su exactitud o precisión contra modificaciones no autorizadas, supresión,
creación y replicación y provee un indicador de estas actividades no autorizadas.
6.22 Intercambio dinámico de datos
Transferencia de datos entre dos o más programas de aplicación diferentes, siempre que estos programas
cumplan con estándares del protocolo de Intercambio Dinámico de Datos.
6.23 No-Repudiación
Provee los medios para la prevención de una acción en particular relacionada con los datos y que una
persona o entidad niegue haber ejecutado al poner a disposición pruebas relacionadas con la red (tales
como pruebas de obligación, intento o aceptación, pruebas de orígenes de datos, de propiedad, de uso de
recursos).
6.24 Objetos vinculados e insertados (OLE)
Estándar industrial que consiste de un grupo de interfaces estándar, propiedades y métodos, para su uso en
control de procesos (OPC) y aplicaciones de automatización.
6.25 OPC (OLE for Process Control)
Estándar basado en los requerimientos de las tecnologías denominadas objetos vinculados e insertados
(OLE), modelado de componentes de objetos (COM) y modelado de componentes de objetos distribuidos
(DCOM). Estas tecnologías facilitan el intercambio de datos en forma estandarizada entre aplicaciones de
control y automatización, entre dispositivos y sistemas de campo y entre aplicaciones administrativas y de
oficina.
6.26 Portal
Es un sitio web cuyo objetivo es ofrecer al usuario, de forma fácil e integrada, el acceso a una serie de
recursos y de servicios, entre los que se suelen encontrar buscadores, foros, documentos, aplicaciones,
compra electrónica, entre otros.
6.27 Privacidad
Protege de intrusiones, que podrían derivar de actividades en la observación de las redes.
6.28 Recuperación de desastres
Se refiere a una recuperación de desastre natural, un plan de contingencia puede anticipar y responder al
propósito del plan de recuperación de desastres si es bastante amplio el alcance.
6.29 Red administrativa
Es una red de área local (LAN) independiente de la red industrial, utilizada para la interconexión de
computadoras, impresoras y periféricos que dan servicio a áreas exclusivamente administrativas.
11/59
6.30 Red de control
Es una red dedicada e independiente para la interconexión de dispositivos de control (controladores).
6.31 Red de instrumentación
Es una red dedicada e independiente para la interconexión de instrumentos, tales como transmisores, entre
otros.
6.32 Red industrial
Es una red dedicada (independiente de la red de control del sistema digital) para intercomunicar dispositivos
de uso industrial tales como el servidor historiador y las HMI y típicamente está basada en Ethernet y
TCP/IP.
6.33 Réplica de datos
Se refiere a la distribución de copias idénticas de datos críticos, de un servidor hacia otros, de forma que las
peticiones .de acceso a esos datos pueden distribuirse entre los diferentes servidores que mantengan la
réplica
6.34 Respaldo
Procedimiento empleado para la restauración de datos en caso de falla o desastre. Los datos se copian
generalmente a un medio de almacenaje externo desprendible, que normalmente están lejos del sistema
principal para su conservación.
6.35 Seguridad en la comunicación
Permite asegurar que la información fluya solo entre los puntos autorizados (la información no debe ser
desviada o interceptada entre estos puntos).
6.36 Servidor integrador historiador
Equipo de cómputo que tiene las características técnicas requeridas paras soportar la integración de datos y
la historización de los mismos así como soportar los programas de los diferentes niveles de integración.
6.37 Virus
Programa de cómputo el cual es capaz de propagarse a sí mismo modificando otros programas para incluir
una copia posiblemente cambiada de sí mismo y que es ejecutado cuando el programa infectado es
invocado.
6.38 Vulnerabilidad
Una debilidad o error en el diseño, implementación operación y administración de un sistema que puede ser
explotada para violar la integridad del sistema o las políticas de seguridad.
12/59
6.39 Zona Desmilitarizada
Una DMZ (del inglés “Demilitarized Zone”) o Zona Desmilitarizada es una red local (subred) que se ubica
entre la red interna de una organización y una red externa. El objetivo de una DMZ es que las conexiones
desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo
se permiten a la red externa, los equipos en la DMZ no se pueden conectar con la red interna.
7. Símbolos y abreviaturas
7.1 BDI Base de Datos Institucional.
7.2 CDTI Centro de Datos Técnicos e Industriales.
7.3 COM Component Object Model (Modelo de componentes de objetos).
7.4 DCOM Distributed Component Object Model (Modelado de componentes de objetos

distribuidos).
7.5 DDE Dynamic Data Exchange (Intercambio dinámico de datos).
7.6 DMZ Demilitarized Zone (Zona desmilitarizada).
7.7 DNS Domain Name Server (Servidor de nombres de dominio).
7.8 ERP Enterprise Resource Planning (Planificación de recursos empresariales).
7.9 EVDO Enhanced Voice Data Optimized (Solución tecnológica para integración de datos).
7.10 GIS Geographical Information System (Sistema de Información Geográfica).
7.11 GSM/GPRS Global System Movil/General Package Radio Service (Comunicaciones móviles para
sistemas globales / servicio de radio empaquetado general).
7.12 HTML HiperText Markup Languaje (Lenguaje de marcación de hipertexto).
7.13 http HiperText Transfer Protocol (Protocolo de transferencia de hipertexto).
7.14 HMI Human Machine Interface (Interfaz humano máquina).
7.15 ISDPI Integración y Seguridad de Datos de Procesos Industriales.
7.16 KPI Key Performance Indicator (Indicadores clave de desempeño).
7.17 LAN Local Área Network (Red de Área Local).
7.18 MAN Metropolitan Area Network (Red de área metropolitana).
7.19 OLE Object Linking Embeded (Objetos vinculados e insertados).
13/59
7.20 OPC Ole for Process Control (Objetos vinculados e insertados para el control de procesos)
7.21 Pemex Petróleos Mexicanos, Empresas Productivas Subsidiarias y Empresas Filiales.
7.22 PLC Programmable Logic Controler (Controlador lógico programable).
7.23 PRODML Formato de transferencia dinámica de datos.
7.24 RAM Random Access Memory (Memoria de acceso aleatorio).
7.25 RDBMS Relational Data Base Management System (Sistema Administrador de Bases de
Datos Relacionales).
7.26 RTPM Real time Platform Manage (Administración de Plataforma de Tiempo real).
7.27 SCADA Supervisory Control And Data Adquisition (Control supervisorio y adquisición de
datos).
7.28 SCD Sistema de Control Distribuido.
7.29 SDMC Sistema Digital de Monitoreo y Control.
7.30 SIS Sistema Instrumentado de Seguridad.
7.31 TAG Etiqueta o marca de identificación.
7.32 TCP/IP Transmission Control Protocol / Internet Protocol (Protocolo de Control de Transmisión
/ Protocolo de Internet).
7.33 TI Tecnología de Información.
7.34 TR Tiempo real.
7.35 UHF Ultra High Frecuency (Ultra alta frecuencia).
7.36 URL Uniform Resource Locator, (Localizador Uniforme de Recursos).
7.37 VLAN Virtual Local Área Network (Red Virtual de Área Local)
7.38 VPN Virtual Private Network (Red Privada Virtual).
7.39 WAN Wide Area Network (Red de área amplia).
7.40 WITSML Formato de transferencia dinámica de datos.
7.41 XML Extensible Markup Language (Lenguaje de marcación extensible).
14/59
8. Desarrollo
8.1 Generalidades
8.1.1 La Integración y Seguridad de Datos de Procesos Industriales (ISDPI) es uno de los objetivos de la
estrategia que Pemex lleva a cabo para lograr un manejo oportuno y confiable de los datos de procesos de
Tiempo Real “TR” derivados de la automatización integrada para el manejo de los hidrocarburos, misma que
involucra a todos los SDMC, que se establecen en el Anexo 12.7 de la presente Especificación Técnica; así
como la infraestructura de comunicaciones, la infraestructura de cómputo y los sistemas de información
empresariales de Pemex; una referencia de estos últimos, es el Sistema de Administración de Datos e
Información Técnica de Pemex Exploración y Producción ADITEP, que permite mantener y proteger los
datos técnicos.
8.1.2 En la etapa de inspección, durante la fabricación de los equipos para la integración y seguridad de
datos de procesos industriales, se debe cumplir con el numeral 8.2.2 Nivel II de la P.1.1100.01:2015. Así
mismo, el suministro, instalación, configuración, pruebas de operación y desempeño, puesta en marcha y
validación de un SDMC de un proceso o parte de él, el proveedor o contratista debe llevar a cabo la
integración de los datos de procesos industriales.
8.1.3 El proveedor o contratista, con base en los requerimientos que se establecen en esta Especificación
Técnica, debe proporcionar la protección y seguridad de los datos de TR de los procesos industriales de los
SDMC, a fin de evitar las amenazas relacionadas con las actividades humanas de carácter malicioso.
8.1.4 Para ello el proveedor o contratista en conjunto con Pemex deben elaborar un análisis de riesgo de
la arquitectura tecnológica, para identificar las vulnerabilidades de seguridad de información en los SDMC, a
fin de elaborar e implementar un plan de tratamiento del riesgo, conforme a esta Especificación Técnica,
para mitigar los riesgos asociados con el manejo e integración de la misma.
8.1.5 El proveedor o contratista, con base en los requerimientos que se establecen en esta Especificación
Técnica, debe evitar el acceso no autorizado a cualquier red de Pemex, donde se manejen datos de TR de
procesos industriales provenientes de un SDMC, a fin de evitar robo o mal manejo de información y
usurpación.
8.1.6 Para garantizar la integridad y seguridad de los datos de procesos industriales y dotar a la red sobre
ciberseguridad industrial, se debe cumplir con las partes 1-1, 2-1, 3-1 y 3-3 de la ISA/IEC 62443 (ISA 99).
8.2 Integración y Seguridad de Datos de Procesos Industriales (ISDPI)
El proveedor o contratista debe proporcionar, conforme a esta Especificación Técnica, los servicios para la
integración y seguridad de datos de TR de procesos industriales provenientes de los SDMC en los niveles de
proceso, estación, supervisión, evaluación y planeación y toma de decisiones, proporcionando la seguridad y
la confiabilidad en el acceso a datos de TR; así mismo, debe identificar y administrar las vulnerabilidades
inherentes en la composición del equipo (hardware) y programas (software), arquitectura y configuración,
entre la supervisión del recurso humano que controla y opera los sistemas y el medio ambiente en el que se
opera.
8.2.1 Arquitectura de la ISDPI
El proveedor o contratista debe presentar la arquitectura tecnológica donde se muestren los niveles en los
que la recolección de datos de TR de proceso, la integración de los mismos, su preservación, su
transferencia a los sistemas de información y la seguridad de estos, se lleve a cabo de manera ordenada,
15/59
facilitando la identificación y ubicación de la infraestructura de equipo (hardware), programas (software) y

comunicaciones que se deben considerar para lograr el objetivo de la ISDPI.
8.2.1.1 La arquitectura tecnológica de la automatización integrada de Pemex, para lograr la Estrategia de

Automatización Integrada desde la Exploración y Producción de hidrocarburos hasta la Transformación en
productos y subproductos derivados, debe cumplir con el Anexo 12.1 de esta Especificación Técnica.
8.2.1.2 Para la integración y seguridad de datos de procesos industriales, el proveedor o contratista debe
cumplir con el flujo de información entre los diferentes niveles de cobertura de la pirámide de automatización,
que se indica en el Anexo 12.2 de esta Especificación Técnica.
8.2.1.3 Los elementos como: “Cortafuegos”, “switches”, “ruteadores” y equipos de seguridad de red,
mostrados en la figura 12.2, deben contar con la certificación en cumplimiento con la ISA/IEC 62443-3-3
2009 and CORR 1, ISO/IEC-27001 2013 e ISO/IEC-27002 2013, para prevenir los ataques cibernéticos.
8.2.2 Niveles de la arquitectura para la ISDPI
La arquitectura de ISDPI, se debe organizar en los siguientes cinco niveles de automatización, los cuales
deben cumplir con los niveles de la pirámide de automatización indicada en el Anexo 12.2 de esta
Especificación Técnica.
1) Nivel de proceso (Instrumentación).

2) Nivel de estación (Controladores de los SDMC).
3) Nivel de supervisión (Monitoreo y acciones de control en los SDMC).
4) Nivel de evaluación y planeación (Manejo de información).
5) Nivel toma de decisiones.
8.2.2.1 Se deben identificar los servicios y la infraestructura existente conforme a los niveles de cobertura
indicados en numeral anterior y aprovechar la infraestructura existente de Pemex. En cuyo caso se debe
cumplir con la particularidad de la solución propuesta para cada proyecto en específico, donde el usuario
final determine que infraestructura debe utilizar el proveedor o contratista.
8.2.2.2 La arquitectura debe estar organizada verticalmente iniciando en el nivel inferior (proceso) llegando
hasta al nivel superior (toma de decisiones), organizada horizontalmente con los diferentes tipos de SDMC
que típicamente se emplean en los procesos industriales de Pemex, conforme al Anexo 12.1 de esta
Especificación Técnica y al 11.1 de la Especificación Técnica P.2.0000.03:2006 CN.
8.2.2.3 Así mismo conforme a esta arquitectura se debe identificar de acuerdo al nivel y al tipo de proceso
industrial, los componentes mínimos requeridos para la integración de los datos de TR y la seguridad de los
mismos, se deben describir los aspectos generales en la sección correspondiente a cada nivel y los detalles
en las hojas de especificación del Anexo 12.6 de esta Especificación Técnica.
8.2.3 Soluciones y esquemas tecnológicos para la seguridad de datos de TR de la arquitectura de

la ISDPI
Conforme a la arquitectura de ISDPI, los proveedores o contratistas deben emplear diferentes soluciones y
esquemas tecnológicos para lograr la integración segura de los datos del proceso para todos los niveles.
8.2.3.1 Los requisitos que los proveedores o contratistas deben cumplir, para proporcionar una conexión
segura para la integración de datos de proceso son los siguientes:
16/59
a) Se debe contar con una segmentación física y lógica entre las redes de datos (industrial y administrativa),
ejemplo; se deben separar la red industrial y la red administrativa, es decir; debe existir una red industrial
conformada por cableado físico o inalámbrica para manejo de datos única y exclusivamente para los
SDMC, redundante, separada e independiente (física y lógicamente) de la red administrativa; de igual
forma, para la red cableada se debe cumplir con la NRF-022-PEMEX-2008.
b) La segmentación debe estar resguardada con un equipo (hardware y software) que su única función sea
la de seguridad.
c) La red industrial debe estar conformada por equipos de comunicación que cumplan con especificaciones
y certificaciones industriales (aplicable a los niveles de estación y supervisión)
d) Se debe establecer una separación del tráfico en la WAN/MAN de acuerdo a la tecnología de

telecomunicaciones existente o propuesta.
8.2.3.2 Las tecnologías que deben utilizar los proveedores o contratistas para transportar e integrar los
datos que provienen del nivel proceso y que se obtienen de un SDMC, deben estar en función de los
requisitos específicos del proyecto; dichas tecnologías (redes) para transportar y manejar los datos, deben
ser compatibles con las existentes en Pemex, tales como:
a) Red cableado estructurado.

b) Red inalámbrica:
 UHF.
 Espectro disperso (Banda licenciada).
 WIFI (802.x).
 Red satelital.
 WiMAX IEEE 802.16-e 2005; IEEE 802.16 j - Multihop Relay; IEEE 802.16 m – Forum Wave 2 (MIMO-
4G).
Estas tecnologías (redes) de transporte de datos deben manejar modelos de encriptación de datos para
llevarlos de una manera segura a los servidores integradores/historiadores de Pemex.
8.2.3.3 Cuando los servicios o tecnologías (solución tecnológicas) para integración de datos de proceso de
los sistemas industriales sean a través de proveedores o contratistas, se debe cumplir con la disponibilidad y
confiablidad del alcance del contrato conforme a los requerimientos específicos del área usuaria de Pemex;
no se debe contemplar el uso de las siguientes tecnologías: GSM, GPRS, EVDO, entre otras. La solución
tecnológica que se emplee debe cubrir las siguientes funcionalidades para la seguridad de los datos:
 Controles de acceso.
 Autenticación.
 No-Repudiación.
 Confiabilidad del dato.
 Seguridad en la comunicación.
 Integridad del dato.
 Disponibilidad.
 Privacidad.
a) La seguridad en el control de acceso a usuarios debe proteger a las redes y equipos, contra el uso de
recursos no autorizados y asegurar que solo personal o dispositivos autorizados son permitidos a
acceder a los elementos de red, información almacenada, al flujo de la información, servicios y
aplicaciones autorizadas.
17/59
b) La seguridad en los sistemas de autenticación debe servir para confirmar las identidades de las partes
que se están comunicando. La autenticación debe garantizar la validez de la identidad solicitada por las
entidades participantes en la comunicación, (personas, dispositivos, servicios o aplicaciones)
garantizando que la entidad no está pretendiendo enmascarar o reproducir una comunicación previa no
autorizada.
c) La seguridad en la no repudiación en los datos debe proveer los medios para la prevención de una acción
en particular relacionada con los datos y que una persona o entidad niegue haber ejecutado al poner a
disposición pruebas relacionadas con la red (tales como pruebas de obligación, intento o aceptación,
pruebas de orígenes de datos, de propiedad, de uso de recursos). Debe asegurar la disponibilidad de
pruebas que se pueden presentar a un tercero y se debe utilizar para demostrar que algún tipo de evento
o acción ha tenido lugar.
d) La seguridad en la confiabilidad de los datos los debe proteger de una divulgación no autorizada, y
asegurar que el contenido de los datos no pueda ser entendido por entidades que no están autorizadas
para su acceso. La encriptación, listas de control de acceso y permisos en archivos deben ser métodos
utilizados para proveer confidencialidad a los datos.
e) La seguridad en las comunicaciones nos debe permitir asegurar que la información fluya solo entre los
puntos autorizados (la información no debe ser desviada o interceptada entre estos puntos).
f) La seguridad en la integridad de los datos debe garantizar su exactitud o precisión. El dato debe ser
protegido contra modificaciones no autorizadas, supresión, creación y replicación y debe proveer un
indicador de estas actividades no autorizadas.
g) La disponibilidad debe garantizar que no hay negación en el acceso autorizado a los elementos de red, a
la información almacenada, al flujo de la información, servicios y aplicaciones a menos que exista un
evento que impacte a la red, por lo que las soluciones de recuperación de desastres deben ser parte de
la disponibilidad de la seguridad de la información.
La seguridad en la privacidad de la información debe protegerla de intrusiones que pueden derivar de

actividades en el monitoreo de las redes. Ejemplo de ellos son los sitios “Web” que el usuario ha visitado,
localizaciones geográficas e IP y nombres DNS de dispositivos dentro de la red.
8.2.4 Categorización de instalaciones
La identificación del sitio o lugar donde la integración y la seguridad de los datos de procesos industriales se
realiza por parte del proveedor o contratista, se debe llevar a cabo conforme a la categorización y
descripción siguiente:
 Instalaciones remotas.
 Instalaciones centrales.
 Instalaciones tripuladas.
 Instalaciones no tripuladas.
 Oficinas centrales nacionales / sede.
 Oficinas administrativas regionales / región.
 Oficinas administrativas locales / activo (opcional).
a) Las instalaciones remotas, son aquellas que se localizan costa adentro o costa afuera (plataformas
marinas fijas, artefactos navales ó embarcaciones), planta, estación, pozo, o área industrial donde los
datos de proceso de TR se generan y la integración de los mismos solo es posible a través de una
instalación central la cual recolecta y concentra el monitoreo y/o control de las instalaciones remotas.
b) Las instalaciones centrales, son aquellas instalaciones donde se concentra el monitoreo y control de
varios procesos industriales y la integración de los datos de TR de procesos industriales se debe llevar a
cabo aprovechando la infraestructura de monitoreo y control de proceso existente en estas instalaciones.
c) Las instalaciones tripuladas, son aquellas instalaciones donde se cuenta de manera permanente con
18/59
personal de operación y/o mantenimiento para supervisar las condiciones operativas de la instalación
misma y de otras instalaciones remotas a través de SDMC.
d) Las instalaciones no tripuladas, son aquellas instalaciones que no cuentan con personal de operación o
mantenimiento de manera permanente, por consiguiente la integración de los datos de proceso de TR
tiene mayor relevancia al facilitar la supervisión de dichas instalaciones aprovechando los SDMC.
e) Las oficinas centrales nacionales / sede, es el área de Pemex donde se concentran los servicios de
recolección, preservación, intercambio y publicación de datos de procesos industriales a nivel nacional,
cuentan con sistemas empresariales administrativos y técnicos de alcance nacional o externos a Pemex,
es decir en las oficinas centrales nacionales se replican los datos de TR de procesos industriales que se
integran en las oficinas centrales regionales.
f) Las oficinas administrativas regionales / región, son las áreas de Pemex donde se recolecta, preserva,
integra y publican los datos de procesos industriales de las instalaciones tripuladas y no tripuladas
pertenecientes geográficamente a una de las regiones de Pemex.
g) Las oficinas administrativas locales / activo, son las áreas de Pemex donde se integran y preservan los
datos de TR de proceso de las instalaciones industriales tripuladas y no tripuladas que pertenecen a una
Gerencia o Coordinación.
8.3 Integración y seguridad de datos en el nivel de proceso
El proveedor o contratista debe llevar a cabo las actividades de integración y seguridad de datos de TR, de
la instrumentación de campo (elementos primarios y finales de control) al siguiente nivel de la arquitectura
cumpliendo con los estándares de seguridad de datos, la NRF-105-PEMEX-2012 y NRF-046-PEMEX-2012.
8.3.1 Integración de datos en el nivel de proceso
El proveedor o contratista debe llevar a cabo la integración de los datos de TR de procesos industriales
desde la instrumentación de campo existente hacia el SDMC de la instalación.
8.3.1.1 A excepción del equipo de instrumentación que se integra a un controlador, el proveedor o

contratista debe aplicar de forma particular los requisitos del nivel de estación. Por consiguiente, para la
integración de datos de proceso en este nivel se debe cumplir lo siguiente:
a) Se debe apegar a la normatividad aplicable a la instrumentación de campo correspondiente al proceso en

cuestión.
b) Se deben Identificar los datos de proceso con el TAG asignado al instrumento conforme a la
Especificación Técnica P.2.0401.02:2005 CN.
c) Los datos de la variable medida y la variable controlada se deben llevar al nivel de estación.
d) Los datos de las variables de proceso de la instrumentación de campo que se utilicen para acciones de
control de proceso, se deben llevar al nivel de estación para la integración de estos datos conforme a la
arquitectura de ISDPI.
8.3.2 Seguridad de datos en el nivel de Proceso
Los métodos de seguridad deben ser en base a los protocolos definidos en la NRF-046-PEMEX-2012, los
proveedores o contratistas deben cumplir lo siguiente:
a) No se deben realizar conexiones a internet o directas a una red administrativa desde la red del nivel de
proceso y viceversa.
b) Se deben restringir los accesos en la red del nivel de proceso mediante claves de acceso (password).
19/59
Las redes y sistemas inalámbricos deben estar protegidos contra intervenciones o monitoreo no autorizados,
interferencias y/o daños, se deben utilizar esquemas y medios de seguridad establecidos por Organismos
Internacionales de Normalización y fabricantes de este tipo de redes y sistemas
8.3.3 Especificaciones técnicas en el nivel de proceso
Deben ser las correspondientes a la instrumentación de campo.
8.3.4 Protocolos de comunicación en el nivel de proceso
Para la integración de datos de TR de la instrumentación de campo hacia los SDMC ubicados en las
instalaciones industriales, los proveedores o contratistas deben emplear los protocolos de comunicación que
cumplan con las funcionalidades que se establecen en la NRF-046-PEMEX-2012.
8.4 Integración y seguridad de datos en el nivel de estación
Las actividades para la integración y la seguridad de los datos de TR del monitoreo y/o control del proceso,
de los datos de TR en el nivel de estación deben asegurar que los datos de TR se lleven a través de la red
Industrial, al nivel de supervisión de la arquitectura ISDPI, cumpliendo los estándares de seguridad de los
datos; adicionalmente se debe cumplir con los siguientes requisitos:
a) Proveer datos de TR hacia el nivel supervisión.

b) La identificación de los datos de TR de proceso requeridos para su integración, se debe asignar de
acuerdo al tipo de variable, conforme al Anexo 12.3 de esta Especificación Técnica.
c) El proveedor ó contratista debe elaborar y entregar a Pemex una memoria técnica listando los TAG´s
asignados a cada dato incluyendo como mínimo: nombre del TAG, ubicación física del instrumento,
descripción de la variable, unidades de ingeniería, protocolo de comunicación utilizado, puertos de
comunicación empleados, puertos de comunicación disponibles, valores: mínimo, máximo, punto de
ajuste o referencia de la variable medida para considerarse valor anormal.
d) El SDMC debe tener la capacidad de almacenar los datos de TR de proceso (identificación) cumpliendo
con lo que establece la NRF-105-PEMEX-2012, es decir el SDMC debe tener capacidad de almacenar
los datos históricos aplicando la tecnología necesaria (software y/o hardware) en la HMI o en el servidor
historiador, sin que esto afecte el desempeño del SDMC.
8.4.1 Integración de datos en el nivel de estación
En este nivel los proveedores o contratistas deben recolectar los datos de TR de proceso, aprovechando la
infraestructura de equipo (hardware), programas (software) y comunicaciones asociadas a los SDMC de
procesos existentes o futuros para la integración de los datos de TR de proceso al nivel de supervisión
conforme a lo siguiente:
a) Se debe elaborar el inventario de los componentes de equipo (hardware), programas (software),

seguridad y comunicaciones de los SDMC incluyendo como mínimo, las características del controlador,
los servidores, las HMI, los equipos de comunicaciones y las características de los programas (software)
instalados en cada uno de estos.
b) Para integrar los datos de TR de proceso hacia el nivel de supervisión, se debe identificar en que equipo
del SDMC se guardan los registros de las variables medidas y/o controladas, comúnmente llamados
“TAG”. En la mayoría de los casos estos datos se almacenan en el disco duro de la HMI o en el disco
duro del servidor de datos históricos.
c) Se debe habilitar la conectividad a la red industrial específicamente para el equipo que almacena las
variables de proceso conforme a las indicaciones de seguridad de datos del nivel de estación para su
20/59
integración al nivel de supervisión.

d) En el equipo donde se almacenan las variables de proceso se debe instalar la interfaz para el intercambio
dinámico de datos adecuada a las características del SDMC (programas (software) y equipo (hardware)
del HMI o del servidor historiador), de acuerdo a lo siguiente:
 Para el caso en que el SDMC cuente con un servidor historiador y una HMI, se debe instalar la interfaz
en el servidor historiador.
 Para el caso de que el SDMC no cuente con servidor historiador, la interfaz se debe instalar en el HMI
del operador.
 Si el HMI del operador no cuenta con capacidad suficiente para soportar la interfaz a instalar, se debe
suministrar una HMI o un servidor que replique los datos de la HMI del operador y en esta se debe
instalar la interfaz o se debe reemplazar el HMI del operador por una de mayor capacidad, dejando la
misma con la configuración de programa (software) original.
e) Las características de la Interfaz para el intercambio dinámico de datos deben ser conforme a lo
siguiente:
 La interfaz para intercambio dinámico de datos se debe instalar en el equipo donde residen los datos
de TR de proceso.
 La interfaz para intercambio dinámico de datos debe tener la capacidad de almacenar temporalmente
los datos (Buffer) en caso de falla de las comunicaciones en la red industrial y cuando la comunicación
se restablezca el servidor integrador historiador a nivel de red administrativa debe reconstruir los datos
que no fueron enviados durante la interrupción.
 La HMI (consola del operador) o el servidor debe tener capacidad de almacenamiento en disco duro
para que los datos recolectados por la interfaz para intercambio dinámico de datos sean preservados
por al menos tres meses, en caso de falla de las comunicaciones, considerando esta capacidad de
almacenamiento independiente de la requerida para la operación del propio HMI.
 Los formatos de transferencia dinámica de datos que se permiten deben ser WITSML, PRODML, OPC
y/o series de tiempo, de acuerdo con la aplicación y conforme con la NRF-046-PEMEX-2012.
8.4.2 Seguridad de datos en el nivel de estación
La red de datos que se ubica en este nivel debe ser la red de control, los métodos de seguridad que deben
cumplir los proveedores o contratistas deben ser en base a los protocolos definidos en la NRF-046-PEMEX-
2012. Cuando la red de control se interconecte con la red industrial (Ethernet industrial), derivado de las
diferentes tecnologías de automatización que se deben implantar, el proveedor o contratista debe de analizar
si es para proceso (control y/o monitoreo) o de un SIS. Los proveedores o contratistas deben cumplir con lo
siguiente:
a) Bajo ninguna circunstancia en cualquiera de los casos anteriores, se debe establecer una conexión
directa hacia la red administrativa, a partir del nivel de evaluación y planeación. El proveedor o contratista
debe cumplir con lo siguiente:
 No se deben realizar conexiones a Internet o directas a una red administrativa desde la red del nivel
estación; y viceversa.
 Se deben de restringir los accesos en la red del nivel estación.
 Solo se debe autorizar el acceso a los equipos que operen como integradores/historiadores.
 Los sistemas que requieran de acceso remoto en la red del nivel estación, deben tener un método de
seguridad de acceso aprobado por Pemex.
 Las redes y sistemas inalámbricos deben estar protegidos contra intervenciones, monitoreos no
autorizados, interferencias y/o daños, deben utilizar esquemas y medios de seguridad establecidos
por Organismos Internacionales de Normalización y fabricantes de este tipo de redes y sistemas.
 Solo se permite tráfico de los protocolos definidos en la NRF-046-PEMEX-2012 y los que Pemex
indique.
21/59
 Se deben emplear mecanismos para el monitoreo, respaldos, recuperación de desastres y controles

de actualizaciones en la infraestructura de cómputo y de comunicaciones, así como de los datos de
proceso.
b) En el caso de los computadores de flujo, la integración de sus variables se deberá dar, como primera
opción a través del SDMC, de no existir este sistema, se debe de instalar en el cuarto de control un
equipo de interfaz para la integración de variables que posteriormente se deben enviar al servidor
integrador en la red industrial.
8.4.2.1 Control del proceso. Debe existir redundancia en las telecomunicaciones del proceso, lo cual nos
proporciona disponibilidad y confiabilidad de cualquier acción que se tome en la operación de los sistemas,
conforme a numeral 8.4.2.1.2.2 de la NRF-046-PEMEX-2012, los proveedores o contratistas deben cumplir
con lo siguiente:
a) El equipo interfaz para el intercambio dinámico de datos de TR, debe ser el único contacto hacia la red
industrial, el cual debe ser protegido con un equipo de seguridad adicional (físico o lógico) hacia las redes
de datos superiores.
8.4.2.2 Monitoreo del proceso. Se debe contar con una segmentación física y lógica en la cual se ha
destinado un direccionamiento IP, que se describe en el Anexo 12.8.6 de esta Especificación Técnica. Los
proveedores o contratistas deben cumplir con lo siguiente:
8.4.2.2.1 Para la integración de las variables de proceso a través de la red Industrial, se debe instalar en
el servidor historiador la interfaz que envíe dichos datos al nivel de supervisión, de no contar con dicho
servidor se debe adquirir un equipo adicional para la instalación de la interfaz.
8.4.2.2.2 El equipo que tenga la interfaz debe ser el único contacto hacia la red del nivel de estación, la
cual debe ser resguardada con un equipo de seguridad.
8.4.2.2.3 Se debe proponer, la solución tecnológica en la arquitectura de red que permita un

escalamiento, para un posterior requerimiento de control.
8.4.2.3 Sistemas instrumentados de seguridad. Para los procesos críticos, las redes de
comunicaciones de los SIS deben cumplir con lo siguiente:
a) Deben de contar con redundancia en las telecomunicaciones donde el tráfico sea exclusivamente del
proceso, lo cual proporciona la disponibilidad y confiabilidad de cualquier acción que se tome en la
operación de los sistemas instrumentados de seguridad, de acuerdo a la NRF-046-PEMEX-2012 en su
numeral 8.4.2.2.4.
b) Se debe contar con una segmentación física y lógica tanto del proceso como de la red administrativa para
la cual se ha destinado un direccionamiento IP, conforme el Anexo 12.8 de esta Especificación Técnica.
c) Para la integración de las variables se debe instalar en el servidor integrador/historiador la interfaz que
envíe los datos al nivel de supervisión, de no contar con dicho servidor se debe adquirir un equipo
adicional para la instalación de la interfaz. Así mismo, se debe instalar una tarjeta de red adicional en el
SIS (nivel de estación) para establecer la conexión hacia el siguiente nivel de supervisión a través de la
red industrial.
d) El equipo que tenga la interfaz debe ser el único contacto hacia la red del nivel de estación, la cual debe
ser resguardada con un equipo de seguridad.
22/59
8.4.3 Especificaciones técnicas en el nivel de estación
Los proveedores o contratistas deben seleccionar las especificaciones técnicas de la infraestructura de

cómputo y comunicaciones en el nivel de estación conforme a la hoja de datos técnicos que se definen en el
12.6 de esta Especificación Técnica.
8.4.4 Protocolos de comunicación en el nivel de estación
Para la integración de datos de TR en este nivel se requiere de interfaces para el intercambio dinámico de
datos para llevar a cabo la transferencia de datos desde el nivel de estación al nivel de supervisión, para lo
cual los proveedores o contratistas deben utilizar arquitectura abierta y estándares de la industria. Las
interfaces permitidas en este nivel deben ser OPC, WITSML y cumplir con el numeral 8.2.3 de la NRF-046-
PEMEX-2012.
8.5 Integración y seguridad de datos en el nivel de supervisión
En este nivel se deben integrar, almacenar y distribuir los datos de TR de proceso, los proveedores o
contratistas deben cumplir con:
a) Proveer datos hacia el nivel de planeación y análisis conforme al Anexo 12.5 de esta Especificación
Técnica.
b) Proveer datos de TR de proceso, en este nivel, para propósitos de administración del activo, planeación
estratégica para el desarrollo y explotación de los yacimientos, elaborar y ejecutar los programas de
operación de pozos, vigilar y mantener el estado óptimo de las instalaciones, optimización (fuera de
línea/en línea y en tiempo real) de los procesos a través de herramientas de análisis y simulación y
procesamiento estadístico para determinar la calidad de los productos y el desempeño de la producción.
c) Considerar la posibilidad de tener más de un caso de integración de datos:
 Caso de integración de Instalaciones administrativas de sector (monitoreo y control remoto).
 Caso de integración de Instalaciones administrativas de activo (monitoreo y control remoto).
d) La elección de un caso o sus combinaciones debe depender de la infraestructura de cómputo y
comunicación disponible, para el requerimiento en particular de las soluciones de integración de datos
hacia las instalaciones administrativas regionales y las de sede; en estos últimos se debe considerar la
replicación de datos.
e) Se deben integrar los datos de proceso generados en las diferentes instalaciones centrales terrestres o
marinas, que pueden pertenecer a un sector de un activo, a un activo o a varios activos (integración a
nivel regional en un solo centro), utilizando el mínimo de infraestructura de integración en las
instalaciones administrativas, por lo que se debe considerar la integración de información en un solo
centro de integración, con la finalidad de reducir costos de inversión, operación y mantenimiento.
f) La viabilidad de cumplir con dicha política, debe depender de la localización geográfica de las
instalaciones administrativas de cada sector, las del activo y las de la región, así como de la
disponibilidad y capacidad de la infraestructura de comunicaciones, para la réplica de datos entre las
mismas; por lo que a continuación en primer lugar se establecen las funciones de este nivel y
posteriormente los casos de integración que se pueden tener en instalaciones administrativas.
8.5.1 Integración de datos en el nivel de supervisión
En el nivel de supervisión la integración de los datos de proceso se deben encontrar en los servidores
integradores historiadores de tiempo real, los cuales se deben encargar de recibir los datos enviados por las
interfaces de intercambio dinámico de datos, previamente instaladas en las HMI (consola del operador) ó en
el servidor historiador propio del SDMC.
23/59
a) El servidor integrador historiador debe integrar los datos de proceso de diversos sistemas digitales de
monitoreo y control, consolidando una sola base de datos en tiempo real de múltiples y diversos
procesos. Y debe historiar o preservar estos datos, para analizar los datos con respecto al tiempo, al
contar con la facilidad de utilizar los datos históricos de algún proceso o procesos.
b) La integración de datos en el nivel de supervisión se debe basar en los servidores integradores
historiadores, siendo estos servidores el principal componente para alcanzar la integración de los datos
de proceso en tiempo real de los SDMC.
c) Los servidores integradores historiadores, debe ser infraestructura de computo independiente de el
SDMC para historiar sus propios datos como parte del monitoreo y control de proceso. Por lo anterior, el
servidor integrador historiador se debe considerar como prioridad, el aprovechamiento de los recursos de
infraestructura existentes, tales como la plataforma de tiempo real (TR) vigente de Empresa Productiva
Subsidiaria, regiones, activos o áreas de Pemex.
d) Conforme a la arquitectura de ISDPI los servidores integradores historiadores, se deben ubicar
físicamente en los centros de datos técnicos e industriales (SITE de computo industrial) adyacentes a los
centros de monitoreo y control centralizado, a las salas de visualización, salas de monitoreo centralizado,
centros de operaciones integradas ó los centros de atención de emergencias.
e) Los servidores integradores historiadores del nivel de supervisión geográficamente deben cumplir dos
funciones, la primera es integrar e historiar los datos de las instalaciones remotas y centrales tanto
tripuladas como no tripuladas, la segunda función es proveer datos de tiempo real a nivel oficinas
administrativas locales /activo o sector y a las oficinas administrativas regionales / región.
8.5.1.1 Oficinas administrativas locales / activo o sector
a) Su objetivo debe ser el almacenamiento de datos de procesos industriales a nivel activo o sector,
únicamente se guardaran y explotaran datos de las instalaciones del propio activo o sector.
b) En caso de existir servidores integrador historiador a nivel de complejo, plataforma o instalación, el
servidor historiador integrador del activo o sector deberá almacenar o replicar los datos de procesos
industriales a su servidor para tener acceso a los datos.
c) Debe proporcionar datos de procesos industriales al servidor regional.
d) Este nivel de integración corresponde a los datos generados en las instalaciones centrales a su cargo, y
de las cuales los proveedores o contratistas deben seleccionar los datos de procesos industriales, así
como integrar y enviar hacia el servidor integrador historiador regional.
8.5.1.2 Oficinas administrativas regionales / región
a) El objetivo del servidor integrador historiador en oficinas administrativas regionales debe ser el
almacenamiento de datos de procesos industriales provenientes del nivel de supervisión, en caso de
existir servidores integradores historiadores en activos, campos o complejos se tiene la posibilidad de
replicar datos de procesos industriales a su servidor.
b) Cuando las oficinas administrativas regionales se localicen geográficamente en el mismo lugar que las
oficinas del activo, se deben integrar los datos de proceso de las diferentes instalaciones, sectores y/o
activos, según sea el caso, en un solo centro de integración.
c) Debe permitir acceso a portal de tiempo real con la finalidad de consultar la información y cálculos que
residan en este servidor para el nivel regional, según se fijen las políticas de seguridad y acceso a la
información.
d) Debe Proporcionar datos al servidor integrador historiador de oficinas centrales.
e) Se debe considerar la integración de datos a nivel región, cuando se cumplan las siguientes condiciones:
 Que una región administre más de una instalación.
 Cuando la localización geográfica de las diferentes instalaciones sea distante, y no se disponga de
infraestructura de telecomunicaciones con la capacidad y disponibilidad apropiada para la réplica datos.
24/59
8.5.2 Seguridad de datos en el nivel de supervisión
En este nivel debe operar la red industrial y es donde se ubica un gran número de componentes y servicios
de tecnología de información (TI) (como son servidores, equipos de comunicación, equipo de cómputo
personal, sistemas, aplicaciones, entre otros.) con protocolos más expuestos a ataques y violaciones
(TCP/IP), por lo que los proveedores o contratistas deben de considerar lo siguiente:
a) No se deben realizar conexiones a Internet o directas a una red administrativa desde la red del nivel de
supervisión; y viceversa.
b) Se deben de restringir los accesos en la red del nivel de supervisión.
c) Solo debe ser autorizado el acceso a los equipos que funjan como integradores/historiadores.
d) Los sistemas que requieran de acceso remoto en la red del nivel de supervisión, deben contar con un
método de seguridad estricto y aprobado por Pemex.
e) Las redes y sistemas inalámbricos deben estar protegidos contra intervenciones o monitoreo no
autorizados, interferencias y/o daños, utilizando esquemas y medios de seguridad establecidos por
organismos internacionales de normalización y fabricantes de este tipo de redes y sistemas.
f) Solo se debe permitir tráfico de los protocolos definidos en la NRF-046-PEMEX-2012 y los que Pemex
apruebe.
g) Se deben emplear mecanismos para el monitoreo, respaldos, recuperación de desastres y controles de
actualizaciones en la infraestructura de cómputo y de comunicaciones, así como de los datos de proceso.
8.5.2.1 Se debe contar con una segmentación física y lógica en la cual se ha destinado un
direccionamiento IP, que viene descrito en el Anexo 12.8 de esta Especificación Técnica. Esto aplica para
aquellos equipos que son parte directa del proceso, como son las HMI, impresoras de reportes y los
servidores integradores/historiadores de los sistemas de monitoreo y/o control, los cuales deben cumplir con
las regulaciones descritas en el Anexo 12.6 de esta Especificación Técnica.
8.5.2.2 En aquellos niveles de supervisión en donde se requiere contar con acceso a servicios de uso
común como son el correo electrónico, SAP, aplicaciones de uso administrativo, entre otros. Deben estar
conectados físicamente en una red independiente de la industrial, como se describe en el Anexo 12.8 de
esta Especificación Técnica.
8.5.2.3 El equipo que tenga la interfaz será el único contacto hacia la red del nivel de evaluación y
planeación, la cual debe ser resguardada con un equipo de seguridad.
8.5.2.4 Debe ser responsabilidad del personal de la plataforma de tiempo real de Pemex el dar soporte y
servicio a la infraestructura de cómputo, programas (software), comunicaciones y seguridad, en este nivel.
8.5.3 Especificaciones técnicas en el nivel de supervisión
Las especificaciones técnicas de la infraestructura de cómputo y comunicaciones en el nivel de supervisión

se deben seleccionar conforme a la hoja de datos técnicos que se definen en el 12.6 de esta Especificación
Técnica.
8.5.4 Protocolos de comunicación en el nivel de supervisión
En este nivel se requiere de interfaces para el intercambio dinámico de datos para llevar a cabo la
transferencia de datos desde el nivel de supervisión al nivel de evaluación y análisis, para lo cual se deben
utilizar interfaces de arquitectura abierta y estándares de la industria. Las interfaces permitidas en este nivel
deben ser los definidos en el numeral 8.2.3 de la Norma de Referencia NRF-046-PEMEX-2012.
25/59
8.6 Integración y seguridad de datos en el nivel de evaluación y planeación
El nivel de evaluación y planeación es el que permite la interconexión y comunicación de datos de procesos

industriales entre el nivel de supervisión y el siguiente nivel de toma de decisiones. En este nivel los
proveedores o contratistas deben llevar a cabo la integración e historización de los datos de tiempo real que
viene del nivel de supervisión.
a) Los datos integrados e historiados se deben almacenar en bases de datos, la cual debe proveer datos a
las áreas de planeación, coordinaciones técnicas, optimización de procesos, atención de emergencias,
de simulación, entre otros. Así mismo, en este nivel, será el único punto donde se establecerán los
mecanismos de interconexión para el intercambio de datos entre el Corporativo y Empresas Productivas
Subsidiarias y proveedores o contratistas. Siempre respetando la confidencialidad de la información.
8.6.1 Integración de datos en el nivel de evaluación y planeación
En el nivel de evaluación y planeación el proveedor o contratista debe llevar a cabo la integración de más de
un sitio industrial ubicado en el nivel de supervisión, las cuales se definen básicamente como:
 Integración desde salas de visualización y monitoreo centralizado.

 Integración desde centros de monitoreo y control centralizado.
8.6.1.1 De acuerdo a la arquitectura (Anexo 12.1), se muestra que debe existir un solo centro de datos
industriales, a nivel nacional, y es donde se debe encontrar ubicada la plataforma de tiempo real, donde se
deben consolidar todos los datos de procesos que provendrán de los diferentes centros de monitoreo y
control de proceso.
8.6.1.2 La viabilidad de cumplir con dicha política, debe depender de la localización geográfica, así como
de la disponibilidad y capacidad de la infraestructura de equipo (hardware), programa (software) y
comunicaciones, para la réplica de datos.
8.6.1.3 Las funciones de la plataforma de tiempo real de Pemex deben cumplir con:
a) Debe existir un solo centro de datos industriales, el cual debe albergar la plataforma de tiempo real de
Pemex.
b) La función de la plataforma de tiempo real debe ser la de recolectar, integrar e historiar datos de
procesos industriales de tiempo real provenientes del nivel de supervisión.
c) El centro de datos industriales debe ser el único punto que proporcionará datos de procesos industriales
al nivel de toma de decisiones.
d) Así mismo, debe ser el único punto que proporcione datos de procesos industriales con otras entidades,
tales como: corporativo y organismos subsidiarios y proveedores o contratistas, debe ser a través de la
plataforma de tiempo real.
e) El intercambio de datos de procesos industriales a otras entidades, debe ser a través de los siguientes
mecanismos:
 Interfaces proporcionadas entre los servidores de integración e historización.
 Sincronización entre RDBMS.
 El desarrollo de servicios “Web” que permitan el acceso / recepción de datos entre los servidores de
integración, sistemas empresariales y/o aplicaciones administrativas y técnicas.
f) La integración de datos de procesos industriales de los niveles de supervisión, debe ser a través de los
siguientes mecanismos:
 Interfaces proporcionadas entre los servidores de integración e historización de la plataforma de tiempo
real vigente: Series de tiempo, PRODML, WITSML y OPC
26/59
g) El intercambio o replica de datos de procesos industriales entre los centros de monitoreo y control así
como de las salas de visualización debe ser a través de la plataforma de tiempo real.
h) La plataforma de tiempo real debe mantener un esquema de alta disponibilidad de los servidores de
integración e historización.
i) Se deben emplear metodologías y tecnologías para la alta disponibilidad de la información, recuperación
de desastres, monitoreo de la infraestructura de cómputo, comunicaciones y seguridad que permitan
analizar, prevenir y resolver eventos que afecten la operación de estos.
j) En el caso de que alguna instalación en particular, en el nivel de supervisión, ya cuente con servidor
integrador historiador y dispositivos de almacenamiento masivos de información; se debe considerar el
uso de dicha infraestructura, y no se deben suministrar estos componentes, a excepción de que se
justifique la necesidad de incorporar alguno de ellos como un complemento, para proporcionar la
capacidad requerida que se demande en particular.
k) El acceso a la información debe ser por medio de la infraestructura de aplicaciones empresariales. Donde
se deben consultar los datos de procesos industriales, provenientes del nivel de supervisión, y cálculos,
según se fijen las políticas de seguridad y acceso a la información.
8.6.1.4 Infraestructura tecnológica. Para llevar a cabo la integración e historización de datos de

procesos industriales, el proveedor o contratista debe cumplir con los siguientes requerimientos:
a) Integración e historización. El servidor integrador historiador, debe tener como función principal, llevar
a cabo la integración e historización de todos aquellos datos de procesos, del nivel de supervisión, que
puedan ser de utilidad para áreas de planeación, coordinaciones técnicas, optimización de procesos,
atención de emergencias, de simulación, entre otros y en el nivel de toma de decisiones, para lo cual, el
servidor integrador historiador debe cumplir con las siguientes características básicas:
 Soportar múltiples protocolos e interfaces de intercambio dinámico de datos, estandarizados y de

arquitectura abierta.
 Tener una estructura estandarizada para el manejo y transferencia de datos de tiempo real.
 Tener una base de datos especializada del tipo series de tiempo o RDBMS Industrial, para el manejo
de datos de tiempo real.
 Tener la capacidad de manejo de grandes volúmenes de datos de tiempo real en un solo servidor.
 Tener la capacidad para el almacenamiento masivo interno y externo, de los datos.
 Utilizar el concepto de integración basado en el modelo cliente/servidor distribuido.
b) En este nivel de evaluación y planeación, se requiere de interfaces de intercambio dinámico de datos

para llevar a cabo la transferencia de datos de procesos industriales recibidos del nivel supervisión, para
lo cual el proveedor o contratista debe utilizar interfaces de arquitectura abierta y estándares de la
industria. Las interfaces permitidas son las que se relacionan a continuación:
 Interfaces de la plataforma de tiempo real vigente

o OPC
o SERIES DE TIEMPO
o WITSML
o PRODML
o RDBMS
o XML
8.6.1.5 Servidores de aplicaciones avanzadas / optimización / simulación. Deben ser las aplicaciones
orientadas a la industria petrolera que permiten procesar/manejar los datos integrados de los procesos
industriales, analizar la información, generar y evaluar modelos o escenarios, contar con elementos para la
27/59
optimización de procesos, realizar balances de materias, evaluación de pozos, bases de datos técnicas,
entre otros.
8.6.1.6 Fuentes de datos. Los datos integrados e historiados deben ser almacenados en una base de
datos industriales para su procesamiento y explotación de los mismos, además estos datos deben ser
compartidos con otras aplicaciones de cada Empresa Productiva Subsidiaria y/ó de Pemex.
8.6.1.7 Aplicaciones técnicas y servicios. Los datos de procesos industriales integrados e historiados en
este nivel deben ser visualizados mediante un portal operativo, colaborativo industrial y/o de inteligencia de
negocio, en donde se deben incluir gráficos y/o tendencias y/o indicadores KPI y/o video de proceso y/o
fichas de datos técnicos y/o vinculados con sistemas de información geográfica (GIS), así mismo, uno de los
mecanismos de compartición de datos con el nivel de toma de decisiones o con alguna entidad externa
deben ser servicios web (WebServices) ó a través de accesos controlados
8.6.1.8 Seguridad y monitoreo de la infraestructura. Debe ser la infraestructura necesaria que permite
garantizar la seguridad y disponibilidad de los servicios de la plataforma de tiempo real.
8.6.2 Seguridad de datos en el nivel de evaluación y planeación
En este nivel, la infraestructura de cómputo, comunicaciones y seguridad debe ser completamente

administrada por el personal responsable de la plataforma de tiempo real de los organismos subsidiarios.
Los proveedores o contratistas deben cubrir las funcionalidades de seguridad descritas en el numeral 8.2 de
esta Especificación Técnica, así mismo con:
a) Se debe resguardar el Centro de Datos Técnicos e Industriales (CDTI) con una DMZ. El cual por
seguridad debe ser el único proveedor de información al nivel de toma de decisiones.
b) Se deben emplear metodologías y tecnologías para la alta disponibilidad de la información, recuperación
de desastres, monitoreo de la infraestructura de cómputo, comunicaciones y seguridad que permitan
analizar, prevenir y resolver eventos que afecten la operación de estos.
c) Las metodologías y tecnologías deben de ser aprobadas por el personal responsable de la plataforma de
tiempo real de Pemex.
8.6.3 Especificaciones técnicas en el nivel de evaluación y planeación
Las especificaciones técnicas de la infraestructura de cómputo y comunicaciones en el nivel de evaluación y

planeación se deben seleccionar conforme a la hoja de especificaciones que se definen en el 12.6 de esta
Especificación Técnica.
8.6.4 Protocolos de comunicación en el nivel de evaluación y planeación
Se requiere de protocolos de comunicación como medio para intercomunicarse en este nivel y con los
niveles de supervisión y toma de decisiones. El protocolo permitido para este nivel es: TCP/IP.
8.7 Integración y seguridad de datos en el nivel de toma de decisiones
En el nivel de toma de decisiones se debe llevar a cabo la interconexión y comunicación de datos del
proceso desde los niveles de evaluación y planeación. En este nivel el proveedor o contratista debe
presentar los datos de tiempo real transformados en información / conocimiento, se debe proveer en este
nivel, a las áreas ejecutivas y sustantivas del negocio, encargadas de las actividades principales de la
administración, producción, mantenimiento, distribución y venta, perforación y exploración.
28/59
a) La presentación de la información de datos de tiempo real de procesos industriales se debe proveer a

través de la plataforma empresarial (RTPM), así como de interfaces aprobadas y certificadas con los
sistemas empresariales ERP y DATOS TECNICOS, o alguna otra aplicación empresarial, cumpliendo con
la estructura que se indica en el Anexo 12.3 de esta Especificación Técnica.
8.7.1 Integración de datos en el nivel de toma de decisiones
En este nivel, los datos integrados e historiados en el nivel de evaluación y planeación se deben utilizar para
alimentarse y transferirse a los sistemas empresariales tales como el ERP, o algún otro sistema empresarial.
Estos datos serán los que se requieran en este nivel para la toma de decisiones.
a) La presentación de estos datos se debe realizar a través de herramientas propias de la plataforma de

tiempo real existente, así como con interfaces certificadas para sistemas empresariales, corporativos,
tales como, ERP´s, BDI, entre otros.
b) En este nivel, el mecanismo de intercambio de información debe ser por medio de las interfaces que el
servidor de integración cuente, así como para RDBMS, o en caso de no contar con ninguna interfaz, se
debe utilizar el desarrollo de servicios Web que permitan el intercambio de datos XML.
8.7.2 Seguridad de datos en el nivel de toma de decisiones
Siendo este un nivel administrativo donde las redes son administrativas, la seguridad debe estar sujeta a las
políticas y lineamientos de las áreas de Tecnología de Información así como de las de telecomunicaciones.
8.7.3 Especificaciones técnicas en el nivel de toma de decisiones
Las especificaciones técnicas de la infraestructura de cómputo y comunicaciones en el nivel de evaluación y

planeación se deben seleccionar conforme a la hoja de datos técnicos que se definen en el Anexo 12.6 de
esta Especificación Técnica.
8.7.4 Protocolos de comunicación en el nivel de toma de decisiones
Se requiere de protocolos de comunicación para intercomunicarse en este nivel y el de supervisión. El

protocolo permitido para este nivel es: TCP/IP.
8.8 Manejo de información en tiempo real
Los proveedores o contratistas deben cumplir con lo siguiente:
8.8.1 La adquisición e historización de datos son los objetivos principales de la plataforma de tiempo real,
y que son de gran ayuda para el monitoreo de los procesos industriales. Por lo cual, se debe garantizar la
confiabilidad, exactitud y el acceso fácil a la información mientras se está midiendo.
8.8.2 El proceso de adquisición de datos no solamente consiste en contar con la infraestructura necesaria
para recopilar las mediciones de los diferentes sistemas de una forma oportuna. El valor de los datos
recopilados de los procesos industriales toma mayor relevancia, para cada uno de los niveles de la pirámide
de automatización, cuando se convierten en información y/o conocimiento útil y que esto permita mejorar y
desarrollar los activos de la organización.
8.8.3 La información y/o conocimiento generado permite a los diferentes clientes, disciplinas, procesos de
negocio, a contar con una visión más completa, de una forma oportuna, para la toma de mejores decisiones
con el menor riesgo.
29/59
8.8.4 La información generada es de utilidad para las diferentes áreas operativas, de planeación,
coordinaciones técnicas, optimización de procesos, atención de emergencias, de simulación, entre otros. Y
debe ser organizada en diferentes disciplinas, como se enuncian a continuación:
 Mantenimiento.
 Seguridad industrial.
 Perforación.
 Producción.
 Transporte y distribución.
 Operación.
 Comercial.
 Exploración.
8.8.5 La infraestructura propuesta en la arquitectura debe garantizar la conectividad y compartición de los

datos a los diferentes sistemas, aplicaciones y/o programa (software) que ayuden a maximizar los procesos
y reducir los costos y riesgos.
8.8.6 El contar con información en tiempo real, debe ayudar a la organización a:
 Minimizar los costos operacionales, al contar con información en tiempo real permitirá al personal
enfocarse en las actividades operativas y no administrativas, al estar reportando las mediciones de algún
instrumento, proceso, instalación, entre otros.
 Minimizar el riesgo, contar con la información de forma oportuna, confiable y poder compartirla con las
diferentes entidades, permite analizar la situación actual los procesos y tomar decisiones en tiempo.
 Prevenir eventos, contar con información que permita tomar acciones de forma inmediata minimizando
los riesgos.
 Tomar de decisiones, al contar con un panorama general de todo el proceso industrial permite mejorar la
toma de decisiones ya que se puede analizar los impactos, los diferentes escenarios, entre otros.
9. Responsabilidades
9.1 Petróleos Mexicanos, Empresas Productivas Subsidiarias y Empresas Filiales
Vigilar la aplicación y el cumplimiento de esta Especificación Técnica para la adquisición y/o contratación de
servicios para la integración y seguridad de datos de procesos de las instalaciones automatizadas de
Petróleos Mexicanos, Empresas Productivas Subsidiarias y Empresas Filiales.
9.2 Proveedor y/o contratista
Es responsabilidad del proveedor y/o contratista, el diseño, construcción, materiales, instalación,

configuración, pruebas de operación y desempeño, puesta en marcha y validación de la integración y
seguridad de datos de procesos de las instalaciones automatizadas de Pemex.
9.2.1 Conocer y cumplir con los requerimientos especificados en esta Especificación Técnica, los
constituidos en el proceso de contratación y en el contrato, en los trabajos relativos al servicio o adquisición.
30/59
9.2.2 Responder plenamente ante la ocurrencia de anomalías en la operación de la integración y

seguridad de datos de procesos de las instalaciones automatizadas de Pemex que se originen por no aplicar
lo indicado en esta Especificación Técnica.
9.2.3 Cumplir según corresponda con la NMX-CC-9001-IMNC-2008; los artículos 55 párrafo 4, 56 y 68

inciso III de la Ley Federal de Metrología y Normalización.
9.2.4 La documentación y registros que se generen en los trabajos que competen a esta Especificación
Técnica, antes y durante el desarrollo de los mismos (procedimientos, manuales, constancias, pruebas,
certificados, responsivas, planos, bitácoras, diagramas, isométricos, imágenes, memorias de cálculo, estudios
y correspondencia), se deben entregar a Pemex en hojas membretadas de la empresa, en idioma español y
conforme a la NOM-008-SCFI-2002 (se puede anexar entre paréntesis otro idioma o sistema de medidas,
aclarando que para esta Especificación Técnica no se aplicó lo publicado el 24 de septiembre de 2009 en el
Diario Oficial de la Federación, en lo que se refiere al punto decimal, sino se conserva el criterio de la coma
que cita la NOM). Asimismo, dicha entrega se debe realizar por medios electrónicos e impresos,
sistematizados y totalmente identificables y conforme a los requerimientos del proceso de contratación y/o del
contrato y se debe validar con sello y rúbrica del proveedor o contratista.
10. Concordancia con normas mexicanas o internacionales
Esta Especificación Técnica no tiene concordancia con Normas Mexicanas o internacionales al momento de
su elaboración.
11. Bibliografía
11.1 AGA 12. Cryptographic protection of SCADA communications Part 1: Background, Policies and Test
Plan, March 14, 2006. (Protección Criptográfica de Comunicaciones de SCADA Parte 1:
Antecedentes, Políticas y Plan de Pruebas, 2006).
11.2 API Standard 1164. Pipeline SCADA Security, American Petroleum Institute, second edition, june
2009. (Seguridad en SCADA de Ductos, Estándar API 1164, Instituto Americano del Petróleo,
segunda edición, junio 2009).
11.3 FIPS 140-2. Security Requirements for Cryptographic Modules 2001 may 25. (Requerimientos de
Seguridad para Módulos Criptográficos, 25 de mayo de 2001).
11.4 FIPS 197. Advanced Encryption Standard (AES), November 26, 2001. (Estándar de Encriptación
Avanzada, 26 de noviembre de 2001).
11.5 IEEE 802.16e 2005. Standard for Local and Metropolitan Area Networks - Part 16: Air Interface for
Fixed and Mobile Broadband Wireless Access Systems - Amendment for Physical and Medium
Access Control Layers for Combined Fixed and Mobile Operation in Licensed Bands. (Estándar para
Redes Locales y Metropolitanas – Parte 16: Interface Aérea para Sistemas de Acceso Inalámbrico
de Banda Ancha Fijo y Móvil – Enmienda para Control de Capas de Acceso al Medio para operación
combinada fija y móvil en bandas de frecuencias licitadas).
31/59
11.6 IEEE 802.16j 2009. Standard for Local and Metropolitan Area Networks - Part 16: Air Interface for
Broadband Wireless Access Systems Amendment 1: Multihop Relay Specification. (Estándar para
Redes Locales y Metropolitanas – Parte 16: Interface Aérea para Sistemas de Acceso Inalámbrico
de Banda Ancha – Enmienda1: Repetidor de Multi salto).
11.7 IEEE 802.16m 2011. Standard for Local and Metropolitan Area Networks - Part 16: Air Interface for
Wireless Systems - Amendment 3: Advanced Air Interface. (Estándar para Redes Locales y
Metropolitanas – Parte 16: Interface Aérea para Sistemas Inalámbricos – Enmienda 3: Interface
Aérea Avanzada).
11.8 Industrial Network Security. 2nd Ed, ISA, Teumim, David J. 2010. (Seguridad en Red Inalámbrica
2da. Edición, ISA).
11.9 ISA TR99.00.01. Security Technologies for Manufacturing and Control Systems. (Tecnologías de
seguridad para fabricación y sistemas de control).
11.10 ANSI/ISA-TR99.00.01-2007. Security Technologies for Industrial Automation and Control Systems,
Approved 29 Octuber 2007. (Tecnologías de Seguridad para Automatización Industrial y Sistemas de
Control, Aprobado el 29 de octubre de 2007).
11.11 ITU-T Security in Telecommunications and Information Technology. June 2006. (Seguridad en
las Telecomunicaciones y Tecnologías de Información Junio 2006).
11.12 System Reliability Theory Models, Statistical Methods, and Applications. Second Edition.
Hoyland A., Rausand M., John Wiley and Sons, Inc. 2003. (Teoría de Sistemas de Confiabilidad
Modelos, Métodos Estadísticos y Aplicaciones Segunda Edición. Hoyland, A., Rausand M., Editorial
John Wiley and Sons, 2003).
11.13 NIST SP 800-30 Revision 1. Guide for Conducting Risk Assessments, September 2012.
http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf. (Guía para la Evaluación de
Riesgos, Septiembre de 2012).
11.14 NIST SP 800-34 Revision 1. Contingency Planning Guide for Federal Information Systems, May
2010. http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_errata-Nov11-2010.pdf.
(Guía de Planeación de Contingencias para Sistemas de Información Federales, Mayo de 2010).
11.15 NIST SP 800-48 Revision 1. Guide to Securing Legacy IEEE 802.11 Wireless Networks, July 2008.
http://csrc.nist.gov/publications/nistpubs/800-48-rev1/SP800-48r1.pdf. (Guía de Seguridad del IEEE
802.11 Redes Inalámbricas, Julio de 2008).
11.16 P.2.0000.03. Automatización de Instalaciones de Proceso, 2ª Edición de mayo de 2006.
11.17 P.2.0401.01. Simbología de Equipo de Proceso, 1ª Edición de diciembre de 1999.
11.18 P.2.0401.02. Simbología e Identificación de Instrumentos, 1ª Edición de mayo de 2005.
11.19 P.2.0602.02:2015. Desplegados Gráficos y Bases de Datos para el SDMC de Procesos.
11.20 P.1.1100.01:2015. Inspección y supervisión de arrendamientos y servicios de bienes muebles.
32/59
12. Anexos
12.1 Arquitectura tecnológica de la automatización integrada de Pemex
33/59
12.2 Niveles de cobertura de la Pirámide de automatización, para la integración y seguridad de

datos de procesos industriales
12.3 Nomenclatura para la identificación de variables en la base de datos de los servidores

integradores historiadores
Con la finalidad de homogenizar y estandarizar los criterios para identificar los datos de procesos industriales
provenientes del instrumento, se debe identificar desde el tipo de variable hasta Región en los servidores
integradores historiadores, como se indica en la siguiente tabla, y así evitar duplicidad en los TAG´s de
éstos; por lo que dicha nomenclatura se debe apegar a los siguientes campos:
a) Para Pemex Exploración y Producción:
Equipo
Activo / Campo / Complejo / Identificación Tipo de
Región Instalación Proceso estático o
Gerencia yacimiento Sector del instrumento variable
dinámico
XXX XXX XXXX XXX XXXXXX99 XXXX XXXXXX99 XXXXXXXXXXX XXXX
6 Caracteres 6 Caracteres
Alfanuméricos Alfanuméricos
(fijos) + 2 (fijos) + 2
3 Caracteres 3 Caracteres 4 Caracteres 3 Caracteres 4 Caracteres 11 Caracteres 4 Caracteres
Numéricos Numéricos
Alfanuméricos Alfanuméricos Alfanuméricos Alfanuméricos Alfanuméricos Alfanuméricos Alfanuméricos
(opcional (opcional
(fijos) (fijos) (fijos) (fijos). (fijos) (máximo) (máximo)
cuando existe cuando existe
más de una más de un
instalación) equipo)
34/59
Dónde:
Identificación. Es el identificador que se le asigna a la variable dentro del servidor integrador historiador, el
cual se emplea para organizar y ordenar los datos provenientes de los Sistemas Digitales de Monitoreo y
Control (SDMC’s).
La identificación se debe conformar de caracteres que refieren de manera ordenada la región, activo o
gerencia, campo o yacimiento, complejo o sector, instalación, proceso, equipo, identificación y tipo de
variable, por lo que cada región debe elaborar su propios catálogos para la asignación de los TAG’s
respetando de manera invariable la cantidad de caracteres para los campos región, activo/gerencia,
campo/yacimiento, complejo/sector, instalación, proceso y equipo (excepto por los dos caracteres numéricos
marcados como opcionales, los cuales pueden omitirse en caso de ser instalación o equipo único), con
respecto al campo para la identificación “TAG” se deben utilizar los primeros 11 caracteres como máximo y
para el campo del tipo de variable este se debe apegar a la Especificación Técnica P.2.0401.02:2005 CN,
cada uno de los campos se debe separar por puntos.
Así mismo, los catálogos que se definan por las coordinaciones regionales para la designación de las TAG’s
deben remitirse al área responsable de la plataforma de tiempo real para su revisión, aprobación y registro,
antes de su implantación.
Ejemplos:
Identificación = SUR.TDH.AGD.AADSTU.ALBO.BA105R.LIC103APID1.PV (asignado a la identificación

dentro del servidor integrador historiador)
Identificación = SUR\TDH\AGD\AADSTU\ALBO\BA105R\LIC103APID1.PV (asignado a la identificación
dentro del servidor integrador historiador)
Identificación = SUR_TDH_AGD_AADSTU_ALBO_BA105R_LIC103APID1.PV (asignado a la
identificación dentro del servidor integrador historiador)
O una combinación de los anteriores.
Donde:
SUR Región Sur
GTDH Gerencia de Transporte de Hidrocarburos
SAGD Sector aguadulce
CAMPO El campo o yacimiento no aplica para las GTDH
AADSTU Área de almacenamiento domos salinos de Tuzandepetl
ALBO Al proceso de almacenamiento de bombeo
BA105R Identificador del equipo dinámico de proceso denominado bomba centrífuga
LIC103APID1 Identificador del instrumento indicador de presión, proveniente del SDMC
PV Identificador de la variable de proceso
35/59
A continuación se muestra una tabla con ejemplos para nombrar o identificar cada uno de los campos de la
identificación:
 Marina Noreste = MNE

 Marina Suroeste = MSO
Región
 Norte = NTE
 Sur = SUR
GTDH = TDH, Burgos = BUR, Samaria Luna = SLU, Muspac = MUS, Cinco
Presidentes = 5PR, Macuspana = MAC, Cantarell = CAN, Litoral de Tabasco =
Activo o gerencia
LIT, Abkatun Pool Chuc = APC, Bellota Jujo = BEJ, Perforación División Sur =
DIS, entre otros.
Akal=AKAL, Bolontiku=BTKU, Cann= CANN, Chuc=CHUF, Balam=BLAM,
Campo o Mallob=MALOB, Jacinto=JACT, Tepeyim=TPYN, Bellota=BLLT,
yacimiento Chinchorro=CHCR, Muspac= MSPC, Soledad=SLDA, Tres hermanos=3HRM,
Coyotes=CYTS, Abahuac=ANHC, Agua fría=AFRI, Pandura= PAND
Complejo o Akal J = AKJ, Cardenas = CAR, Aguadulce = AGD, Reforma = REF, Comalcalco
sector = COM, Cd PEMEX = CDP, entre otros.
Central de Almacenamiento y Bombeo Poza Rica = CABOPR, Estación de
Recolección de Gas Cuitlahuac 2 = ERGASC02, Área de Almacenamiento en
Domos Salinos Tuzandepetl = AADSTU, Batería de Separación Tecominoacán =
Instalación
BSTECO, Akal J Producción 1 = PBAKAJ01, Nohoch A Producción 1 =
PBNOHA01, Pol A Compresión = COPOLA01, Abkatun A Enlace = ENABKA01,
PERFORACIÓN AKAL DB = PPAKDB01, entre otros.
Almacenamiento y Bombeo = ALBO, Bombeo Mecánico = BMEC, Bombeo
Proceso Neumático = BNEU, Separación de Aceite = SACE, Separación de Gas = SGAS,
Endulzamiento = ENDU, Compresión de Gas = CGAS, entre otros.
Un equipo estático se debe referir al equipo de proceso tal como; Tanque de
Almacenamiento, Separador, Torre de estabilización, entre otros. Un equipo
Dinámico se refiere a equipos rotatorio tal como; Motobombas,
Equipo (estático Motocompresores, Motogeneradores, Turbobombas, Turbocompresores,
o dinámico) Turbogeneradores, entre otros. Identificado típicamente por caracteres
alfanuméricos. Para cada uno de los casos la nomenclatura se debe apegar a
los DTI´s de los AS-BUILT o a las Especificaciones Técnicas de PEMEX No.
P.2.0401.01:1999 UNT, P.2.0401.02:2005 CN y NRF-226-PEMEX-2009.
Es el identificador del instrumento, que contiene típicamente caracteres
alfanuméricos provenientes del Sistema de Monitoreo y Control, incorporado
identificación de este al servidor integrador historiador, para lo cual se debe ordenar de forma
variable estandarizada apegada a los DTI´s de “cómo quedó construido” “AS BUILT” o a
la Especificaciones Técnicas de PEMEX No. P.2.0401.01:1999 UNT,
P:2.0401.02:2005 CN y cc-PEMEX-2009.
Es un identificador adicional a la identificación del instrumento que se refiere a
si la variable es de tipo Punto de Ajuste = SP, Variable de Proceso = PV, Señal
de Salida = OP, L, LL = Alarma de bajo o muy bajo, H, HH = Alarma de alto o
Tipo de variable
muy alto, Modo de Control (Automático = AUTO, Manual = MAN, Cascada =
CAS), Promedio Horario = AVGH, Promedio Diario= AVGD, Promedio Mensual =
AVGM, entre otros.
Los campos descripción y unidades de ingeniería correspondientes a la identificación, deben ser

configurados forzosamente para cada identificación existente y/o creada, así como el rango mínimo-máximo
y el valor deseado.
36/59
Se puede contar con TAG´s calculados o replicados, por lo que para su rápida identificación se debe poner
en el nombre del TAG un prefijo como por ejemplo:
Tipo Prefijo
Replicado “rep.”
Suma “sum.”
Promedio “avg.”
Totalizado “tot.”
Performance equation “pe.”
Dividido entre 10 “d10.”
Dividido entre 100 “d100.”
Totalizados a las 5 am “t5am.”
Totalizados a las X am “txam”
Promedio a las 5 am “a5am.”
Promedio a las X am “axam”
b) Para Pemex Gas y Petroquímica Básica:
La identificación de los datos de procesos industriales provenientes de los instrumentos localizados en

campo para su integración en los servidores integradores-historiadores, debe cumplir con los criterios que
defina el área usuaria de este Organismo Subsidiario. Así mismo estos datos deben remitirse al área
responsable de la plataforma de tiempo real para su revisión, aprobación y registro, antes de su
implantación.
c) Para Pemex Refinación:

implantación.
d) Para Pemex Petroquímica:

implantación.
37/59
12.4 Nomenclatura para la identificación de servidores integradores historiadores de Pemex
12.4.1 Asignación del nombre para los servidores integradores-historiadores de PEP. Los nombres
de los servidores integradores historiadores para cada región y zona, se deben asignar conforme a la
siguiente tabla:
Región Zona Marina Zona Sur Zona Norte
Marina Noreste PEPMARPI01
Marina Suroeste PEPMARPI02
Sur PEPSURPI01
Norte - AIB PEPNTEPI01

Norte - AIV PEPNTEPI02
Norte - AIPRA PEPNTEPI03
Así mismo se deben enviar los datos del servidor al área responsable de la plataforma de tiempo real como
se muestra en la siguiente tabla:
Servidor PI Servidor RT Portal

Serie del equipo Serie del equipo
No. Inmovilizado No. Inmovilizado
Dirección IP Dirección IP
Versión instalada Versión instalada
Nombre del servidor Nombre del servidor
Marca Marca
Modelo Modelo
Procesadores Procesadores
Velocidad Velocidad
RAM RAM
Sistema Operativo Sistema Operativo
Ubicación Ubicación
URL del sitio principal
12.4.2 Asignación del nombre para los servidores integradores-historiadores de Pemex Gas y
Petroquímica Básica
La asignación de los nombres de los servidores integradores-historiadores, debe cumplir con los criterios
que defina el área usuaria de este Organismo Subsidiario. Así mismo, los nombres de los servidores
integradores-historiadores citados, deben remitirse al área responsable de la plataforma de tiempo real para
su revisión, aprobación y registro, antes de su implantación.
38/59
12.4.3 Asignación del nombre para los servidores integradores-historiadores para Pemex
Refinación
12.4.4 Asignación del nombre para los servidores integradores-historiadores para Pemex
Petroquímica
12.5 Intercambio de datos entre servidores integradores historiadores
Se debe preservar la seguridad y confidencialidad de la información, por lo que solo los dueños de la
información deben definir las áreas que podrán visualizarla.
En caso de que las áreas usuarias otorguen permisos hacia algún destinatario para que pueda visualizar o
incluso modificar algunos TAG’s siempre y cuando se cumplan los siguientes puntos.
a) El intercambio de información entre regiones debe ser pactado y acordado entre áreas operativas y/o
sede.
b) El responsable y dueño de la información debe solicitar y autorizar de forma oficial al área responsable de
la plataforma de tiempo real especificando los TAG’s que podrán acceder, así como los privilegios y
quienes pueden visualizar la información.
c) El área responsable de la plataforma de tiempo real debe dar los accesos e informar al área
correspondiente.
39/59
12.6 Especificaciones técnicas de la infraestructura de equipo de cómputo
HOJA DE ESPECIFICACIÓN No. 01

SERVIDOR
Nombre de proyecto:
Localización: Realizó:
Fecha:
Hoja 1 de 1
Integrador Historiador OPC WITSML PRODML
Integrador Auxiliar
WEB
Autenticacion
Proxy
Tipo de procesador: Velocidad:

Memoria RAM: Ranuras de expansión:
Capacidad de disco duro: Redundancia en disco duro:
Memoria RAM en video/monitor: Sistema operativo:
Cantidad de teclados: Arreglo interno de discos:
CD-RW DVD-RW
Puerto serie No. de puertos serie:

Puerto paralelo No. de puertos paralelo:
Puerto USB No. de puertos USB: Tipo:

Tarjeta de red Ethernet No. de tarjetas Ethernet: Velocidad:
Voltaje de alimentacion: 127 VCA 220 VCA
Unidad de almacenamiento masivo interno
Caracteristicas adicionales:
NOTA: ESTA HOJA DE DATOS TECNICOS DEBE SER AUTORIZADA POR EL AREA RESPONSABLE DE LA PLATAFORMA DE TIEMPO REAL DE PEMEX.
40/59
Especificaciones técnicas de la infraestructura de equipo de cómputo (continuación)

DISPOSITIVOS DE SEGURIDAD INFORMÁTICA
Nombre de proyecto:
Fecha:
Hoja 1 de 1
Dispositivo integrado de seguridad Corta Fuegos

con IDS, IPS y Cortafuegos
Procesador: Memoria RAM:
Memoria Flash Capacidad:
Protocolos de seguridad: Rendimiento:
Interfaces de conexión: Tipos de proteccion:
Tipo de cifrado: Metodo de Autenticacion:
Voltaje de alimentación: 127 VCA 220 VCA
Caracteristicas tecnicas adicionales:
NOTA: ESTA HOJA DE DATOS TECNICOS DEBE SER AUTORIZADA POR EL AREA RESPONSABLE DE LA PLATAFORMA DE TIEMPO REAL DE PEMEX.
41/59
Especificaciones técnicas de la infraestructura de equipo de cómputo (continuación)

DISPOSITIVOS DE COMUNICACIÓN
Nombre de proyecto:
Fecha:
Hoja 1 de 1
Conmutador de datos(Switch LAN) Enrutador
Procesador: Memoria RAM:
Memoria Flash Capacidad:
Protocolos de comunicación: Rendimiento:
Interfaces de conexión: Protocolos de seguridad:
Cantidad de puertos: Tipo de puertos:
Voltaje de alimentación: 127 VCA 220 VCA
Caracteristicas tecnicas adicionales:
NOTA: ESTA HOJA DE DATOS TECNICOS DEBERA SER AUTORIZADO POR EL AREA RESPONSABLE DE LA PLATAFORMA DE TIEMPO REAL DE PEMEX.
12.7 Tipos de sistemas digitales de monitoreo y control en las instalaciones industriales de Pemex
I. Sistemas de monitoreo
I.1 Sistemas de sensores de presión de fondo.

I.2 Sistemas de monitoreo de variables de perforación.
I.3 Sistemas de monitoreo de variables operativas de aceite, gas y condensados.
I.4 Centros de respuesta y atención de emergencias.
I.5 Sistemas centralizados de visualización y monitoreo de variables.
I.6 Sistemas centralizados para control de motores (CCM’S).
I.7 Sistemas de monitoreo de fugas en ductos.
I.8 Sistemas de almacenamiento de hidrocarburos.
I.9 Sistemas de monitoreo y análisis cromatográficos de hidrocarburos en línea.
42/59
II. Sistemas de control
II.1 Sistema de control de motogeneradores y turbogeneradores.

II.2 Sistema de control de motocompresores y turbocompresores.
II.3 Sistema de control de motobombas y turbobombas.
II.4 Sistemas de control distribuido (SCD).
II.5 Sistemas de control y adquisición de datos automatizado (SCADA).
II.6 Sistemas de control de estabilización de crudo.
II.7 Sistemas de control para mezclado de hidrocarburos.
II.8 Sistemas de control de deshidratación de hidrocarburos.
II.9 Sistemas de control de bombeo neumático.
II.10 Sistemas de control de bombeo mecánico.
II.11 Sistemas de control de bombeo electrocentrifugo.
II.12 Sistemas de control para el endulzamiento de gas amargo.
II.13 Sistemas de control para manejo y recuperación de condensados “slug catcher”.
II.14 Sistemas de control para la separación de hidrocarburos.
II.15 Sistemas centralizados de monitoreo y control remoto de procesos industriales.
II.16 Controladores lógicos programables (PLC’s).
II.17 Sistemas de control híbridos.
II.18 Sistemas de control para aire de planta e instrumentos.
II.19 Sistemas de control para plantas desaladoras de hidrocarburos.
II.20 Sistemas de control de desfogues.
III. Sistemas de seguridad
III.1 Sistemas de seguridad industrial.

III.1.1 Sistemas de detección y supresión de fuego.
III.1.2 Sistemas de detección de gas toxico.
III.1.3 Sistemas de detección de gas combustible.
III.1.4 Sistemas de alarmas.
III.1.5 Sistemas de paro por emergencia.
III.2 Sistemas de seguridad física.

III.2.1 Sistemas de circuito cerrado de televisión.
III.2.2 Sistemas de control de acceso.
III.2.3 Sistemas de videovigilancia.
III.2.4 Sistemas de protección perimetral.
IV. Sistemas auxiliares
IV.1 Sistemas de medición de aceite, gas y condensados.

IV.2 Sistemas de transferencia de custodia.
IV.3 Sistemas de tratamiento de aguas negras.
IV.4 Sistemas de tratamiento de aguas aceitosas.
IV.5 Sistemas de tratamiento de aguas jabonosas.
IV.6 Sistemas de tratamiento de aguas congénitas.
IV.7 Sistemas de control de plantas potabilizadoras.
IV.8 Sistemas de control de calidad de fluídos.
IV.9 Sistemas de intercomunicación y voceo inteligentes.
IV.10 Sistemas de entrenamiento a operadores basado en simuladores (ots’s).
IV.11 Sistemas de análisis y medición de parámetros para laboratorios.
43/59
IV.12 Sistemas de protección catódica.

IV.13 Sistemas de monitoreo y control de la corrosión.
IV.14 Sistemas de inyección de químicos (inhibidores, antiespumantes, entre otros).
IV.15 Sistemas de rastreo y monitoreo de vehículos.
IV.16 Sistemas de refrigeración y enfriamiento.
IV.17 Sistemas de calentamiento y/o transferencia de calor (aceite, entre otros).
IV.18 Sistemas de fuerza ininterrumpible (SFI “UPS”).
IV.19 Sistemas de monitoreo y control de tráfico marino y terrestre.
IV.20 Sistemas de muestreo de hidrocarburos.
12.8 Seguridad de la red industrial
12.8.1 Introducción
12.8.1.1 Se debe presentar la mejor opción en la salvaguarda de la información e infraestructura en los

sistemas automatizados en cada uno de los diferentes procesos de Pemex, minimizando los riesgos en la
integración de datos del proceso hacia las áreas de evaluación y toma de decisiones.
12.8.1.2 En esta Especificación Técnica se presentan algunas arquitecturas que se deben implementar en
las redes industriales, con diferentes tecnologías en la prevención y detección de posibles ataques mediante
las comunicaciones, es importante señalar que a medida de que avancen las tecnologías de información y
comunicaciones, se debe actualizar este documento, sin desviar el objetivo de su función: Contar con el
mejor esquema de comunicación, seguridad y flexibilidad en la extracción de datos del proceso.
12.8.2 La seguridad, contexto general
12.8.2.1 La seguridad debe estar orientada a la protección de los bienes contra amenazas, donde las
amenazas deben ser categorizadas por el abuso potencial en contra de los bienes protegidos. Todas las
categorías se deben considerar; pero en el ámbito de la seguridad, se debe dar mayor atención a las
amenazas relacionadas con actividades maliciosas u otras actividades humanas. La figura 1 ilustra este
concepto en un alto nivel y su relación entre los elementos que nos permiten trabajar en la seguridad.
Figura 1, Contexto general de la seguridad en un alto nivel y su relación entre los elementos que nos
permiten trabajar con seguridad
44/59
12.8.2.2 Conforme lo muestra la figura 1, debemos vigilar y hacer mejoras en los esquemas de
seguridad que se implementen en las instalaciones industriales, siempre cumpliendo con las normas y
estándares requeridas por Pemex para la integración y seguridad de los datos de proceso.
12.8.2.3 Y para ello inicialmente se deben reconocer las vulnerabilidades de un sistema de monitoreo y
control, analizar y mitigar los riesgos asociados con ellas. Algunos de los cuestionamientos de la industria
del petróleo son:
 Los sistemas SCADA pueden causar desastres.

 El activo fijo es de larga vida (generalmente, la infraestructura es vieja) y se maneja información con
amplias escalas de tiempo, siendo esta industria la que mas utiliza los datos en un periodo mas largo que
otras.
 Son pocas las referencias o estándares de seguridad para SCADA’s.
 Se tiene poca experiencia en desarrollos y evaluaciones de seguridad para sistemas SCADA.
12.8.2.4 La mayoría de los sistemas SCADA mantienen su seguridad al estar aislados de cualquier otra
red. Es por ello que la seguridad de estos sistemas se debe basar en normas y arquitecturas que cumplan
con las siguientes recomendaciones:
 Conectividad en las redes de datos.

 Servicios de TI en las instalaciones industriales.
 Mejorar las arquitecturas de comunicaciones a las áreas operativas en conjunto con la Gerencia de
Ingeniería de Telecomunicaciones.
12.8.2.5 Seguridad en la conectividad de la red de datos en las instalaciones industriales. Se debe

trabajar en la integración de la información que se obtiene en cada sistema, llevándola hasta las áreas de
toma de decisión y de operaciones ejecutivas, por lo que se deben diseñar esquemas de redes seguras para
la extracción de los datos de proceso ya que las redes del SCADA y SDMC no deben ser independientes,
convergiendo en algún punto con el mundo exterior, hacia las redes de datos conectadas a la Internet y por
lo tanto con un índice alto de ataques de virus y “hackers” .
12.8.2.6 Para analizar la red que vamos a proteger se deben conocer los siguientes términos:
 Red de Instrumentación.
 Red de Control.
 Red Industrial.
 Red Administrativa.
a) Red de instrumentación.- Red de instrumentos o dispositivos (de acuerdo con los protocolos de
comunicación que se indican en la NRF-046-PEMEX-2012, entre otros), debe permitir interconectar entre
si: sensores, interfaces de operador, drivers, arrancadores suaves, entre otros, para ser controlados por
el SDMC.
b) Red de control. Red de comunicaciones que permite un control permanente de todos los dispositivos
conectados a ella (de acuerdo con los protocolos de comunicación que se indican en la NRF-046-
PEMEX-2012, entre otros). Esto significa que cada uno de los dispositivos conectados a la red de control,
deben estar "controlados" por al menos, un dispositivo de supervisión.
c) Red industrial. Red Ethernet en donde se tienen conectados solo dispositivos propios del SDMC, como
son las Interfaces Humano Máquina (HMI), servidores historiadores e impresoras de uso específico
(reporteadores), (de acuerdo con los protocolos de comunicación que se indican en la NRF-046-PEMEX-
2012, entre otros).
45/59
d) Red administrativa. Red en donde TI tiene todas las fortalezas de servicio y la interacción con usuarios
dedicados a procesos administrativos y a manejo de información operativa ya extraída del área industrial.
12.8.2.7 En la figura 2 se ilustran la clasificación de redes que se han creado para establecer estrategias
de servicios y arquitecturas:
Red Administrativa
Red Industrial
Red de Control
Red de Instrumentación
Figura 2, Clasificación de redes
12.8.3 Conectividad entre la red industrial y la administrativa
Se deben seguir las siguientes reglas para conectar una red industrial con la administrativa:
1) Se debe contar con una segmentación física de la red administrativa con la red de datos industrial.
2) Esta segmentación debe estar resguardada con un equipo que su única función sea la de seguridad.
3) Se debe establecer una separación del tráfico en la WAN mediante VPNs si es capa 3 y/o PVCs si es en
capa 2, de acuerdo a la tecnología de telecomunicaciones
12.8.4 Segmentación de redes
Debe existir una red industrial cableada de datos única y exclusivamente para el SCADA o para los Sistemas
Digitales de Monitoreo y Control (SDMC), redundante y separada e independiente (física y lógicamente) de
la red administrativa (figura 4) o de cualquier equipo que sea de uso general y que se encuentre dentro del
cuarto de control (figura 5) respetando en todo momento, los requerimientos especificados en la NRF-022-
PEMEX-2008.
46/59
Figura 4, Redes separadas sin ningún contacto entre ellas
Figura 5, Cuarto de control con equipos de uso general

(Office, correo, intranet, internet, entre otros)
12.8.4.1 Cuando se tenga este tipo de esquemas, se debe conectar en diferentes equipos de
comunicaciones las estaciones de trabajo (HMI) y los equipos de uso general. De no contar con un equipo
adicional y que la instalación no sea de alto riesgo, se debe de considerar lo siguiente:
a) Crear VLAN para cada segmento

b) Tener ampliamente identificado los equipos de uso general y monitorearlos constantemente, vigilando
que tengan las últimas actualizaciones del sistema operativo, paquetería y antivirus.
12.8.4.2 Es muy importante no manejar servicios comunes (Paquetería de office no requerida, correo,
intranet, internet, USB o CD/DVD si no es necesario, entre otros.) en las HMI. Se debe considerar, al
momento de hacer requisiciones, equipos de uso general para el personal operativo de las instalaciones
industriales.
12.8.5 Conectando las redes
12.8.5.1 Para el caso de los SDMC y de los SIS los datos del proceso se deben concentrar en un
servidor historiador o en una HMI (con funciones de historización), siendo estos los únicos elementos que
establezcan comunicación entre la red de control y la red industrial, para su posterior envió de los datos de
proceso hacia la red administrativa, (figura 6)
47/59
Red Industrial Red

Administrativa
IHM Operación
10.10.2.3
Servidor Integrador/
Historiador
10.10.2.4
Red de Control
PLC
Figura 6, Conectividad con un equipo de seguridad
12.8.6 Direccionamiento IP sobre la red industrial para acceder al nivel supervisión
12.8.6.1 Cuando se ponga en operación un SCADA o SDMC el fabricante debe manejar un

direccionamiento de red diferente al de una red administrativa (ejemplo: 10.x.x.x, ó 20.x.x.x), por lo que se
debe contar con un direccionamiento IP industrial:
a) Para Pemex Exploración y Producción:
Región Inicia Termina
Marina Suroeste 10.190.0.0 10.194.255.255
Marina Noreste 10.195.0.0 10.199.255.255
10.181.0.0 10.184.255.255
Sur
10.171.0.0* 10.171.255.255*
Norte 10.121.0.0 10.124.255.255
*(Zona Istmo) Se deben manejar dos segmentos para la Región Sur derivado de las
ubicaciones por zonas en las que está distribuida la infraestructura de GIT
48/59
b) Para Pemex Refinación:
Al entrar en operación un SCADA o SDMC el fabricante debe manejar un direccionamiento de red diferente
al de una red administrativa (ejemplo: 10.x.x.x, ó 20.x.x.x), por lo que se debe contar con un
direccionamiento IP industrial, el cual debe cumplir con los criterios que defina el área usuaria de este
Organismo Subsidiario. Así mismo estos direccionamientos deben remitirse al área responsable de la
plataforma de tiempo real para su revisión, aprobación y registro, antes de su implantación.
c) Para Pemex Gas y Petroquímica Básica:
d) Para Pemex Petroquímca:
12.8.6.2 El detalle del direccionamiento IP para cada instalación debe estar estructurado de acuerdo a
los nodos de comunicaciones y a los sistemas del proceso, figura 8.
Figura 8, Ejemplo de distribución de direccionamiento IP
12.8.6.3 Cabe señalar que cada sistema debe de contar con una red separada físicamente.
12.8.7 Equipos de seguridad para las redes
12.8.7.1 Para mantener la seguridad y mitigar amenazas al momento de conectar la red industrial con la
administrativa para la extracción de los datos del proceso, se debe de contar con un sistema de detección y
49/59
protección que permita la prevención de intrusiones y actué como un “cortafuegos”, siendo estas las únicas
funciones del equipo, además de:
a) Proveer un amplio rango del perímetro de la red con servicios de seguridad para no permitir accesos no
autorizados, filtración de contenido, tráfico malicioso, virus, gusanos, spam.
b) Debe tener la capacidad y flexibilidad de controlar el acceso de aplicaciones, servicios y protocolos

definidos por el usuario.
c) Integrar métodos de inspección que proveen aplicaciones para los servicios de seguridad y control de
protocolos tales como: Hypertext transfer Protocol (http), Hipertext Markup Languaje (HTML),File Transfer
Protocol (FTP), Extended Simple Mail Transfer Protocol (ESMTP), Domain Name System (DNS), Simple
Network Management Protocol (SNMP), Internet Control Message Protocol (ICMP), SQL*Net, Network
File System (NFS), H.323 Versiones 1-4, Session Inicial Protocol (SIP), Cisco Skinny Client Control
Protocol (SCCP), Real-Time Streaming Protocol (RTSP), GPRS Tunneling Protocol (GTP), Internet
Locator Services (ILS), Sun Remote Procedure Call (RPC) y otros.
12.8.7.2 Cabe señalar que no se debe utilizar una sola marca en equipos de comunicación y seguridad,
ni modelos que hayan salido recientemente al mercado. Esto es, si existe más de un sistema en una zona se
debe de alternar modelos y marcas ya que si existe una falla se replica en toda la zona ocasionando la
perdida de la información o algo más crítico, la posibilidad de perder el control en la instalación.
12.8.7.3 El equipo solo debe permitir el acceso a:
 Servidor PI de manera bidireccional (Puerto 5450)

o PI Región Norte
o PI Región Sur
o PI Regiones Marinas
 Servidor de monitoreo
o SNMP, ICMP, Puerto 139 Performance Monitor
 Servidor de antivirus
 Servidor de actualizaciones
12.8.7.4 Siendo estas direcciones IP’s y puertos los que se tendrán que vigilar, por lo que se deben tener
pantallas donde se debe estar monitoreando estos equipos, así como se deben configurar alarmas de
incidentes, se deben crear reportes cada 15 días (los cuales deben ser establecidos por personal
responsable del área de control y automatización o área equivalente dependiendo del Organismo Subsidiario
del que se trate) para el seguimiento de la operación de estos equipos.
12.8.7.5 Se deben tener publicados todos los programas de mantenimiento a estos equipos y a la red de
datos industrial y se deben tener que informar al área operativa con 3 días de anticipación, recordándoles
durante los siguientes días, mediante avisos electrónicos.
12.8.7.6 Los siguientes son los esquemas que se deben manejar para la conectividad entre las redes
utilizando equipos de seguridad:
50/59
Red Industrial Red Administrativa
Servidor Integrador/ Servidor Integrador

Historiador
Figura 9, Diagrama típico de conexión entre redes
CUARTO DE CONTROL
Red Industrial Red Administrativa
Servidor
Servidor Integrador/ Integrador
Historiador
Red Administrativa
Figura 10, Diagrama de conexión de equipos de proceso y de uso general en el mismo cuarto de
control
51/59
12.8.7.7 Soluciones tecnológicas. El proveedor o contratista debe implementar una de las siguientes
soluciones tecnológicas de seguridad hacia la red industrial para instalar los equipos de red, que cumplan
con su función como se solicita en la presente Especificación Técnica:
a) Solución A
a.1) Debe aplicar un filtro para red transparente, en línea, encargado de bloquear ataques al tiempo que
permite el flujo ininterrumpido de tráfico legítimo.
Historiador Servidor Integrador
- Activar la prevención de intrusos

- Bloquear trafico malicioso
- Permitir solo trafico autorizado
Figura 11, Diagrama de conectividad solución A
a.2) Funcionalidades que debe cumplir el equipo:
 Protección con base en las vulnerabilidades

 Técnicas para identificar, analizar y bloquear amenazas
 Análisis completo de protocolos de comunicación
 Programación de políticas
 Monitoreo y reportes vía Web o cliente
b) Solución B
b.1) Debe permitir mostrar las capacidades de detección / bloqueo mediante la tecnología de respuesta
activa y que cumpla con los requerimientos de:
 Detectar ataques conocidos y no conocidos.

 Operar sin firmas.
 Instalación y operación sencilla.
 No debe ser un punto de falla en la red.
 No debe generar latencia en el tráfico real.
52/59
Equipo de Seguridad
Servidor Integrador
Red de Control
Historiador
Figura 12, Diagrama de conectividad solución B
b.2) Funcionalidades que debe cumplir el equipo:
 Detectar la actividad maliciosa en forma puntual y sencilla

 Detectar por dirección IP y puerto a través del cual se genera la actividad.
 Detectar si la actividad maliciosa se genera dentro del rango / segmento que se está
monitoreando, mediante el módulo de control de acceso a la red (NAC).
 Generar políticas sin la necesidad de generar una acción hacia un Host.
 El portal web debe mostrar las direcciones IP/MAC e información relacionada con las mismas.
c) Solución C
c.1) Debe operar en la red totalmente “en línea”, para bloquear el tráfico malicioso o indeseable y
proteger al tráfico legítimo. Debe optimizar el rendimiento de red limpiándola de ataques,
amenazas y asignando prioridades a las aplicaciones de misión crítica.
53/59
RED DE
MICROONDAS
PEMEX
(Red Interna)
2 x 10/100 LAN
Servidor Integrador
RED INDUSTRIAL Historiador RED
ADMINISTRATIVA
Figura 13, Diagrama de conectividad solución C
c.2) Funcionalidades que debe cumplir el equipo:
 Manejar filtros para prevenir los ataques sobre vulnerabilidades.

 Contar con servicio de vacuna digital.
 Manejar el ancho de banda (para detener la aparición de aplicaciones parásitas (rogue) del tipo
persona a persona (Peer to Peer) o de mensajería instantánea ó que éstas fluyan libremente a
través de la red)
 Proteger contra los ataques distribuidos de negación de servicio (DDoS)
d) Solución D
d.1) El servidor de seguridad y aceleración debe ofrecer protección avanzada, facilidad de uso y
acceso rápido y seguro para todo tipo de redes. Este equipo debe contener un servidor de
seguridad del nivel de aplicación, el cual debe formar un perímetro de seguridad (“cortafuegos”)
entre los equipos de cómputo en las redes industriales y administrativas y generar reglas que
permitan la comunicación necesaria.
d.2) Se deben realizar reportes y gráficas para llevar el control y monitoreo de los equipos de
comunicaciones, las cuales deben de estar disponibles para su análisis.
54/59
Servidor Integrador
Red Administrativa
Historiador Servidor de
Seguridad
IHM Operación
Red Administrativa en el Cuarto de Control
Red industrial
PLC
Figura 14, Diagrama de conectividad solución D
12.8.8 Acceso a la información de tiempo real por parte de proveedores o contratistas prestadoras
de servicios
Pemex debe contar con una solución de manejo de identidad para otorgar el acceso a todos los prestadores
de servicio y con ello se tenga un estricto seguimiento en la red de datos, dichos prestadores de servicio
deben contar con un contrato vigente.
12.8.9 Acceso al portal de tiempo real de Pemex
En tanto se implementa la solución de manejo de identidad, se deben seguir los siguientes requisitos para la
conectividad y acceso a la información de tiempo real:
55/59
Historiador
Seguridad entre Red
Industrial y Red
Administrativa
Servidor del
Portal
Seguridad para el control de

acceso de Compañías
Compañía A
Compañía B
Compañía C
Figura 15, Diagrama de conectividad para el acceso de compañías
1. Se debe solicitar a Pemex la creación de una cuenta VPN, quien autorizará su creación, conforme al
formato del Anexo 12.9 de esta Especificación Técnica.
2. Personal autorizado de Pemex debe crear una cuenta en el directorio activo, capturando la siguiente
información:
Nombre del usuario del proveedor o contratista Dirección del usuario del proveedor o contratista
56/59
El usuario no puede cambiar el “password” y la Anotar los teléfonos del usuario del proveedor o
fecha es la de término del contrato del contratista
proveedor o contratista con Pemex
Responsable o responsables por parte de Grupo del Data Access al que debe pertenecer la
Pemex. cuenta.
57/59
3. Personal de Pemex debe crear un grupo o unidad organizacional en el directorio activo para agrupar a los
usuarios y aplicar las políticas de tecnología de información.
Nomenclatura de Grupo GS-Region-Activo-AI Compañias

Ejemplo: GS-RN-AIB-AI Compañias
GS-RN-AI Compañias
Nombre de UO: AI Compañias
4. Personal responsable de Pemex debe crear un sitio el cual debe ser el único lugar donde pueda navegar
el proveedor o contratista, así mismo deben determinar la normativa del nombre del sitio y sus políticas.
5. El equipo debe estar identificado (Nombre, dirección IP).
6. Los equipos de cómputo del proveedor o contratista deben contar con las últimas actualizaciones del
sistema operativo, así como de antivirus.
7. Los usuarios de proveedor o contratista se deben sujetar a las reglas del buen uso de la infraestructura
informática de Pemex.
8. Personal responsable de Pemex debe de generar los reportes mensuales de acceso a la información, a
la red y a los servidores de Pemex, por parte de los proveedores o contratistas de servicio.
Cuando se tenga el esquema de extender la red de Pemex hacia los edificios de los proveedores o
contratistas o inclusive si estos están dentro de las instalaciones de Pemex, se debe cumplir con los
siguientes requisitos:
a) La cuenta de usuario debe pertenecer al directorio activo de Pemex.

b) El equipo del proveedor o contratista debe de estar en el directorio activo de Pemex.
c) El equipo del proveedor o contratista debe de tener una IP fija.
12.8.10 Acceso a la red industrial
Para dar seguridad al acceso hacia el área industrial se debe manejar la siguiente conectividad:
Compañía de Seguridad para el control

Servicios de acceso de Compañías
Seguridad para el control

de acceso al proceso
HACIA PROCESO
Figura 16, Diagrama de conectividad para el acceso de compañías, a la red industrial
58/59
1) Se debe solicitar a Pemex la creación de una cuenta VPN, quien autorizará su creación, conforme al
formato del Anexo 12.9 de esta Especificación Técnica.
2) Al crear la cuenta VPN, esta debe asignar una dirección IP válida en la red de Pemex.
3) La IP asignada a la cuenta VPN debe ser estática.
4) Esta IP debe ser la única que se configure para tener acceso por el equipo de seguridad (“cortafuegos”)
de la red Industrial y se debe proceder a permitir la conexión hacia el dispositivo dentro del área de
proceso.
5) Los siguientes requisitos, se deben aplicar para el caso de que se tenga el esquema de extender la red
de Pemex hacia los edificios de los proveedores o contratistas o inclusive si estos están dentro de las
instalaciones de Pemex.
 El equipo debe estar identificado (Nombre, dirección IP).
 El equipo de cómputo debe contar con las últimas actualizaciones del sistema operativo, así como del
antivirus, información que se debe entregar al solicitar el acceso a la red de Pemex.
 Los usuarios de proveedores o contratistas se deben sujetar a las reglas del buen uso de la
infraestructura informática de Pemex.
 Pemex, mediante el personal del área de control y automatización y de TI, debe solicitar una revisión
del equipo de los proveedores o contratistas en cualquier momento.
 Personal responsable de Pemex debe de generar los reportes mensuales de acceso a la información,
a la red y a los servidores de Pemex, por parte de los proveedores o contratistas de servicio.
12.9 Formato para solicitud de cuentas VPN
12.9.1 Solicitud de cuenta de VPN para acceso remoto a la red de Pemex
Se deben cumplir las siguientes instrucciones:
Debe cumplir con lo estipulado en la página de intranet de la Gerencia de Ingeniería de Telecomunicaciones

(http://www.git.pemex.com/index.cfm?action=content&sectionID=5&catID=159 )
59/59

P.2.0610.02-2015 Clasificado

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

P.2.0610.02-2015 Clasificado

Cargado por

Copyright:

Formatos disponibles

SUBDIRECCIÓN DE MANTENIMIENTO Y LOGISTICA

SUBCOMITÉ TÉCNICO DE NORMALIZACIÓN

ESPECIFICACIÓN TÉCNICA INTERNA PARA PROYECTO DE

INTEGRACIÓN Y SEGURIDAD DE DATOS DE

Segunda Edición P.2.0610.02:2015

Esta Especificación Técnica se realizó en atención y cumplimiento a:

 Estatuto Orgánico de Petróleos Mexicanos

En la elaboración de esta Especificación Técnica participaron:

Instituto Mexicano del Petróleo

Segunda Edición P.2.0610.02:2015

ÍNDICE DE CONTENIDO Página

3. Campo de aplicación ............................................................................................................. 7

7. Símbolos y Abreviaturas ....................................................................................................... 13

8.1 Generalidades .......................................................................................................................... 15

8.2 Integración y seguridad de datos de procesos industriales (ISDPI) ........................................ 15

8.2.1 Arquitectura del ISDPI.............................................................................................................. 15

8.2.2 Niveles de la arquitectura para la ISDPI .................................................................................. 16

8.2.3 Soluciones y esquemas tecnológicos para la seguridad de datos de TR de la arquitectura

8.2.4 Categorización de instalaciones .............................................................................................. 18

8.3 Integración y seguridad de datos en el nivel de proceso ......................................................... 19

8.3.1 Integración de datos en el nivel de proceso ............................................................................ 19

8.3.2 Seguridad de datos en el nivel de proceso .............................................................................. 19

8.3.3 Especificaciones técnicas en el nivel de proceso .................................................................... 20

8.3.4 Protocolos de comunicación en el nivel de proceso ................................................................ 20

8.4 Integración y seguridad de datos en el nivel de estación ........................................................ 20

8.4.1 Integración de datos en el nivel de estación ............................................................................ 20

8.4.2 Seguridad de datos en el nivel de estación ............................................................................. 21

8.4.3 Especificaciones técnicas en el nivel de estación ................................................................... 23

Segunda Edición P.2.0610.02:2015

ÍNDICE DE CONTENIDO Página

8.4.4 Protocolos de comunicación en el nivel de estación ............................................................... 23

8.5 Integración y seguridad de datos en el nivel de supervisión ................................................... 23

8.5.1 Integración de datos en el nivel de supervisión ....................................................................... 23

8.5.2 Seguridad de datos en el nivel de supervisión ........................................................................ 25

8.5.3 Especificaciones técnicas en el nivel de supervisión .............................................................. 25

8.5.4 Protocolos de comunicación en el nivel de supervisión .......................................................... 25

8.6 Integración y seguridad de datos en el nivel de evaluación y planeación ............................... 26

8.6.1 Integración de datos en el nivel de evaluación y planeación................................................... 26

8.6.2 Seguridad de datos en el nivel de evaluación y planeación .................................................... 28

8.6.3 Especificaciones técnicas en el nivel de evaluación y planeación .......................................... 28

8.6.4 Protocolos de comunicación en el nivel evaluación y planeación ........................................... 28

8.7 Integración y seguridad de datos en el nivel de toma de decisiones ...................................... 28

8.7.1 Integración de datos en el nivel de toma de decisiones .......................................................... 29

8.7.2 Seguridad de datos en el nivel de toma de decisiones ........................................................... 29

8.7.3 Especificaciones técnicas en el nivel de toma de decisiones.................................................. 29

8.7.4 Protocolos de comunicación en el nivel de toma de decisiones ............................................. 29

8.8 Manejo de información en tiempo real ..................................................................................... 29

9.1 Petróleos Mexicanos, Empresas Productivas Subsidiarias y Empresas Filiales .................... 30

9.2 Proveedor y/o contratista ......................................................................................................... 30

10. Concordancia con normas mexicanas o internacionales ........................................... 31

11. Bibliografía ............................................................................................................................. 31

12. Anexos .................................................................................................................................... 33

12.1 Arquitectura tecnológica de la automatización integrada de Pemex ....................................... 33

Segunda Edición P.2.0610.02:2015

ÍNDICE DE CONTENIDO Página

12.2 Niveles de cobertura de la Pirámide de automatización para la integración y seguridad de

12.3 Nomenclatura para la identificación de variables en la base de datos de los servidores

12.4 Nomenclatura para la identificación de servidores integradores historiadores de Pemex ...... 38

12.5 Intercambio de datos entre servidores integradores historiadores .......................................... 39

12.6 Especificaciones técnicas de la infraestructura de equipo de cómputo .................................. 40

12.8 Seguridad de la red industrial .................................................................................................. 44

12.9 Formato para solicitud de cuentas VPN .................................................................................. 59

Segunda Edición P.2.0610.02:2015