LOGO

CLIENTE

Procedimiento de asignación de contraseñas

Brentec Soluciones Tecnológicas

Clasificación: [MEDIO]

Versión: 1.0
Código: ProcedimientoCuentasPrivilegiadas
Revisión: 01
Fecha de Revisión: 01/01/2022
 Procedimiento de asignación de contraseñas

Versión: 1.0 Código: Revisión: 01 Fecha de Revisión: Página1de6

01/01/2022 IP
ProcedimientoCuentasPrivilegiadas

Tabla de Contenido
1 Historia de Cambios al Documento............................................................................................................................................................................. 2

2 Reglas para la generación de contraseñas de primer acceso o por defecto...............................................................................................3

3 Protocolo de entrega e información de autenticación por primera vez y ante solicitudes de cambio de información de
autenticación.................................................................................................................................................................................................................................... 4

Protocolos para la asignación de cuentas privilegiadas...................................................................................................................4

4 Reglas en los activos que requieran contraseña para que se realice el cambio después de acceder por primera vez..............4

5 Algoritmos de cifrado de contraseñas para su almacenamiento.....................................................................................................................4

6 Reglas en los activos para la composición de contraseñas................................................................................................................................ 5

7 Firma de autorización del documento........................................................................................................................................................................ 5

CONTROL DEL DOCUMENTO................................................................................................................................................................................................. 5

IP
Todos los Derechos Reservados ©2022 Brentec Soluciones Tecnológicas
 Procedimiento de asignación de contraseñas

Versión: 1.0 Código: Revisión: 01 Fecha de Revisión: Página2de6

01/01/2022 IP
ProcedimientoCuentasPrivilegiadas

1 Historia de Cambios al Documento

Historia de Cambios
Versión Fecha de Resumen de Cambios Sección: Creado por: Evaluado por: Autorizado por:
Liberación
1.0

IP
Todos los Derechos Reservados ©2022 Brentec Soluciones Tecnológicas
 Procedimiento de asignación de contraseñas

Versión: 1.0 Código: Revisión: 01 Fecha de Revisión: Página3de6

01/01/2022 IP
ProcedimientoCuentasPrivilegiadas

2 Reglas para la generación de contraseñas de primer acceso o por defecto

Las contraseñas de primer acceso deberán contar con las siguientes reglas mínimas:
- Longitud no menor a 8 caracteres
- Contenido alfanumérico y caracteres especiales
- No deberá asociarse a los datos personales del usuario

Una vez que el usuario ha ingresado por primera vez, deberá realizar la asignación de su contraseña
personalizada, de acuerdo a lo siguiente;

Las contraseñas cumplen con las siguientes reglas según la matriz de controles del SAT:
 La contraseña no puede ser igual a alguna de las últimas 3 (En caso de que existan anteriores).
 La contraseña no debe contener el nombre de usuario o login.
 La contraseña debe contener entre 8 y 15 caracteres.
 La contraseña debe contener al menos una letra mayúscula, un número y un carácter especial.
 Los caracteres especiales disponibles son: $ # @ & * - _ +.
 No debe tener más de tres caracteres consecutivos idénticos
 No debe contener la letra "Ñ" por cuestiones de codificación
 Las contraseñas deberán de ser cambiadas al menos cada 60 días
 Todo tipo de contraseñas (cuentas de acceso al servicio de control volumétrico, correos electrónicos,
sellos digitales, etc.) deberán permanecer cifradas en las bases de datos, medios de almacenamiento
y/o herramientas de soporte utilizadas para su resguardo
 La contraseña es asignada en relación con un usuario y entregada utilizando protocolos de
comunicación segura, privilegiando el uso de herramientas interactivas, de manera que el usuario
pueda cambiar la contraseña inicial asignada en el primer ingreso del titular del acceso lógico al
activo.
 La contraseña será bloqueada definitivamente al momento del término de la relación laboral o
finalizar un contrato comercial.

El responsable de la administración de activos tecnológicos en relación al proveedor de software de control

volumétrico y/o personal de apoyo que ha sido autorizado para esas labores, configura los sistemas, servidores,
equipos de usuario y todos los activos que presente la herramienta o mecanismo que favorezca bloquear cuentas
de usuario en caso de intento de "brute force" para bloquear las cuentas cuando:

 Se presente una discrepancia con los requisitos para asignación de credenciales. (por ejemplo, no exista
documentación sobre la cuenta en los registros de la organización).
 Al capturar la contraseña errónea 3 ocasiones consecutivas, el acceso quedará bloqueado.
 Derivado de un incidente de seguridad por accesos no autorizados o se detecte una modificación no
autorizada, la administración de TI podrá bloquear la contraseña por tiempo indefinido.
 Cuando se considere que existen fundamentos contractuales, legales o regulatorios que ameriten la
suspensión del acceso.

IP
Todos los Derechos Reservados ©2022 Brentec Soluciones Tecnológicas
 Procedimiento de asignación de contraseñas

Versión: 1.0 Código: Revisión: 01 Fecha de Revisión: Página4de6

01/01/2022 IP
ProcedimientoCuentasPrivilegiadas

3 Protocolo de entrega e información de autenticación por primera vez y ante

solicitudes de cambio de información de autenticación
Por definir

 Se hace entrega del acceso hasta que el colaborador cuenta con toda su documentación en regla.
 El colaborador únicamente recibirá accesos lógicos hasta concluido su periodo de inducción y se cuente
con la responsiva de acceso lógico firmada entre las partes interesadas.
 Se favorece el privilegio de mínimo privilegio para minimizar la vulnerabilidad en el uso de los sistemas.

Protocolos para la asignación de cuentas privilegiadas

Por definir
 Las cuentas privilegiadas, administrador, solamente serán entregadas al contribuyente dueño del sistema,
en un sobre cerrado.
 Se creará otras cuentas con características necesarias para poder operar el sistema de forma automática o
desatendida. Las contraseñas solamente serán conocidas por el director general de Brentec Soluciones
Tecnológicas quien proporcionara un componente para poder ser usado en las aplicaciones.

4 Reglas en los activos que requieran contraseña para que se realice el cambio
después de acceder por primera vez
Por definir

 Todas las cuentas que sean asignadas a un usuario deberán cambiar su contraseña la primera ocasión que
ingresen al sistema.
 Las únicas cuentas que no requieren cambio de contraseña son las que usan los sistemas para poder
operar de manera autónoma o desatendida.

5 Algoritmos de cifrado de contraseñas para su almacenamiento

Activo Algoritmo de cifrado

Si SHA1-256

IP
Todos los Derechos Reservados ©2022 Brentec Soluciones Tecnológicas
 Procedimiento de asignación de contraseñas

Versión: 1.0 Código: Revisión: 01 Fecha de Revisión: Página5de6

01/01/2022 IP
ProcedimientoCuentasPrivilegiadas

6 Reglas en los activos para la composición de contraseñas

A reserva de que se indiquen excepciones, la configuración de contraseñas utilizadas en medios y activos de

información bajo control de Neosmart Systems deberá cumplir por lo menos con las siguientes características:

 Longitud no menor a 8 caracteres

 Contenido alfanumérico y caracteres especiales
 Diferencia entre mayúsculas y minúsculas
 No deberá asociarse a los datos personales del usuario
 No deberá de repetir las últimas 3 contraseñas

En el caso de las cuentas privilegiadas (súper usuarios) y las cuentas maestras para el acceso a los servicios en la
nube, as contraseñas deberán cumplir con las siguientes características mínimas:

 Longitud no menor a 9 caracteres

 Contenido alfanumérico y caracteres especiales
 Diferencia entre mayúsculas y minúsculas
 No deberá asociarse a los datos personales del usuario
 No deberá de repetir las últimas 5 contraseñas.

7 Firma de autorización del documento

CONTROL DEL DOCUMENTO

AUTORIZACIÓN firma
ELABORACIÓN firma
REVISIÓN firma

IP
Todos los Derechos Reservados ©2022 Brentec Soluciones Tecnológicas