En la actualidad, hablar de Comprobantes Fiscales Digitales por Internet (CFDI) no solo implica referirse al cumplimiento de una obligación fiscal. También significa hablar de la protección de información crítica para la operación de las empresas. Los CFDI respaldan ingresos, egresos, pagos, nómina y operaciones con clientes y proveedores, por lo que su manejo seguro resulta indispensable para preservar la integridad, confidencialidad y disponibilidad de los datos.

Muchas veces se piensa que basta con descargar los XML o conservarlos en una carpeta de la computadora. Sin embargo, esta práctica puede representar un riesgo importante. El resguardo de los CFDI debe realizarse bajo medidas de seguridad adecuadas, ya que estos documentos contienen información fiscal, contable, comercial y, en muchos casos, datos personales sensibles.

En este artículo, abordaremos el fundamento legal que da sustento al resguardo de los CFDI, algunos antecedentes que muestran los riesgos de un manejo inseguro de esta información y las principales medidas de seguridad que las empresas deben considerar para proteger comprobantes fiscales de nómina, clientes y proveedores.

Conservación de los CFDI

La necesidad de resguardar en medios magnéticos los CFDI tiene sustento en la legislación fiscal. El artículo 28 del Código Fiscal de la Federación (CFF) establece que los registros o asientos que integran la contabilidad deben llevarse en medios electrónicos, y que la documentación comprobatoria de dichos registros debe estar disponible en el domicilio fiscal del contribuyente.

Por su parte, el artículo 30 del CFF dispone que las personas obligadas a llevar contabilidad deben conservarla a disposición de las autoridades fiscales. Asimismo, señala que la documentación y la contabilidad deben conservarse, en términos generales, durante un plazo de cinco años, contado a partir de la fecha en que se presentaron o debieron presentarse las declaraciones relacionadas.

En este contexto, los CFDI forman parte de la documentación comprobatoria que respalda operaciones contables y fiscales. Por ello, su resguardo no debe entenderse como una tarea secundaria, sino como una práctica necesaria para atender revisiones, auditorías, conciliaciones y requerimientos de la autoridad.

La Seguridad en los CFDI

La importancia de proteger los CFDI no obedece únicamente a razones normativas. También responde a riesgos que desde hace años han evidenciado la vulnerabilidad de la información fiscal cuando no existen controles adecuados.

Un antecedente relevante fue el caso en el que personal de una prestigiada firma internacional donde se descargó sin autorización comprobantes fiscales del SAT utilizando accesos proporcionados por clientes. De acuerdo con lo reportado, dicha información fue colocada en un entorno no autorizado en la nube, sin contraseñas ni controles de seguridad. La exposición comprometió millones de CFDI y datos sensibles como RFC, CURP, NSS, cuentas bancarias, salarios y antigüedad laboral.

Este caso dejó claro que una mala práctica en el almacenamiento de la información puede derivar en filtraciones graves, comprometiendo no solo información fiscal, sino también datos personales de empleados y colaboradores.

Y aunque este antecedente ocurrió hace varios años, el riesgo sigue vigente. Casos más recientes relacionados con el llamado huachicol fiscal muestran que los CFDI, los accesos fiscales y los registros digitales continúan siendo elementos vulnerables en esquemas de fraude, uso indebido de credenciales y manipulación de información. Esto confirma que la seguridad en el resguardo de los comprobantes fiscales sigue siendo un tema actual para las empresas.

Resguardar CFDI no solo es Guardar Archivos

En artículos anteriores de este blog ya se ha hablado de la relevancia del manejo seguro de los CFDI emitidos y recibidos, así como de la necesidad de proteger la información contenida en los CFDI de nómina. Esto se debe a que dichos comprobantes no solo tienen valor fiscal, sino también operativo, administrativo y legal.

Un CFDI puede ser indispensable para:

• Realizar registros contables correctos y oportunos.
• Atender requerimientos del SAT.
• Validar operaciones con clientes y proveedores.
• Proteger información descargada en los CFDI de nómina.
• Evitar problemas por filtración o uso indebido de datos.

Por ello, el resguardo de CFDI debe contemplar medidas que garanticen que la información se mantenga accesible, íntegra y protegida ante cualquier eventualidad.

La Información de Nómina Requiere un Cuidado Especial

Uno de los puntos más sensibles en este tema es el manejo seguro de los CFDI de nómina. Estos documentos concentran datos personales de los trabajadores, montos salariales, deducciones, percepciones, impuestos retenidos y otros elementos que deben tratarse con un nivel de seguridad mayor.

Un manejo inadecuado de esta información puede derivar en consecuencias importantes para la empresa, tales como:

• Pérdida de confidencialidad.
• Accesos no autorizados.
• Dificultades para atender auditorías o revisiones.
• Sanciones fiscales o laborales.
• Daños reputacionales y pérdida de confianza.

Por ello, el resguardo seguro de los CFDI de nómina no solo contribuye al cumplimiento normativo, sino también a la estabilidad operativa de la organización.

Seguridad en Medios Propios o en la Nube

Cuando se habla del almacenamiento de CFDI, es común pensar en dos posibilidades: resguardarlos en medios propios o utilizar servicios en la nube. Ambas opciones pueden ser funcionales, pero ninguna es segura por sí misma si no existen controles adecuados.

Si la empresa opta por medios propios, debe cuidar la seguridad física y operativa de sus equipos, bases de datos, carpetas compartidas y respaldos. 

Si decide utilizar servicios en la nube, es indispensable que estos cuenten con medidas robustas de protección, autenticación y administración de accesos.

El verdadero problema no está en si los CFDI se almacenan localmente o en la nube. El problema surge cuando se dejan en una carpeta de computadora sin contraseña, sin perfiles de usuario, sin cifrado, sin control de acceso y sin políticas de respaldo. Ese tipo de prácticas incrementa el riesgo de pérdida de información, filtraciones/hackeos o imposibilidad de recuperación ante un incidente.

Descarga Segura de CFDI y Protección de la Información

La seguridad de los CFDI no comienza únicamente en el momento en que se almacenan, sino desde su descarga. Cada vez que una empresa consulta o recupera comprobantes desde el portal del SAT, la información viaja desde los servidores de la autoridad hasta los equipos o sistemas del contribuyente.

Por ello, es importante que este proceso se realice mediante mecanismos de comunicación segura que ayuden a proteger los datos durante la transferencia y reduzcan el riesgo de exposición, intercepción o uso indebido de la información, es decir la utilización de protocolos criptográficos y/o protocolos de seguridad de la capa de transporte del tipo TLS 1.2 (Transport Layer Security) que es el estándar más utilizado.

Este punto cobra mayor relevancia cuando se manejan grandes volúmenes de comprobantes o información sensible de nómina, clientes y proveedores.

Medidas de Seguridad a Tomar en Cuenta

Para lograr un resguardo seguro de los CFDI, es recomendable considerar distintas medidas de protección.

Una de las más importantes es el manejo adecuado de usuarios y contraseñas. No todo el personal debe tener acceso a la misma información, por lo que conviene establecer perfiles según funciones y responsabilidades. A esto se suma la necesidad de cambiar contraseñas de forma periódica y evitar compartir credenciales entre colaboradores.

También es importante contar con una base de datos protegida con contraseña o con herramientas tecnológicas que permitan un mejor control de la información. Dejar los XML y PDF en carpetas abiertas o dispositivos sin protección incrementa considerablemente la vulnerabilidad de los comprobantes.

Otro punto clave es el respaldo seguro de la información, ya sea en medios físicos protegidos o en servicios en la nube con altos estándares de seguridad. A esto debe añadirse un plan de contingencia que permita recuperar los CFDI en caso de pérdida, falla técnica o ataque cibernético.

Asimismo, las empresas pueden fortalecer su control interno mediante el uso de pistas de auditoría, ya que estas permiten registrar quién accedió a la información, qué cambios realizó, en qué momento y en qué condiciones. Esta trazabilidad resulta especialmente útil ante auditorías, revisiones electrónicas y análisis internos.

Seguridad en CFDI: una Práctica que Fortalece el Control de la Empresa

La seguridad en el resguardo de los CFDI también se relaciona con una mejor administración de la información fiscal. Verificar facturas emitidas y recibidas, validar su autenticidad, revisar su vigencia y mantener un control ordenado de los comprobantes ayuda a prevenir errores, duplicidades, inconsistencias y posibles fraudes.

En un entorno donde el SAT ha fortalecido sus herramientas tecnológicas para la fiscalización, contar con información organizada, protegida y disponible se vuelve una ventaja importante para responder con oportunidad a cualquier requerimiento y sostener la trazabilidad de las operaciones de la empresa.

Conclusión

La seguridad en el resguardo de los CFDI es un tema que combina cumplimiento fiscal, protección de datos y prevención de riesgos operativos. El Código Fiscal de la Federación obliga a conservar la contabilidad y su documentación comprobatoria, pero además, la realidad digital exige hacerlo bajo medidas de seguridad adecuadas.

Los antecedentes de exposición de comprobantes fiscales y la persistencia de riesgos asociados al uso indebido de información demuestran que no basta con almacenar archivos. Es necesario protegerlos mediante controles de acceso, contraseñas seguras, respaldos, bases de datos protegidas, trazabilidad y herramientas tecnológicas que fortalezcan su administración.

Implementar estas prácticas ayuda no solo a cumplir con la autoridad, sino también a proteger información sensible de nómina, clientes y proveedores, reducir vulnerabilidades y dar mayor solidez al manejo de la información fiscal dentro de la empresa.

eComprobante COM: La Herramienta para el Manejo Seguro de CFDI

En dSoft desarrollamos eComprobante COM, uno de los sistemas más seguros en el resguardo de información de los CFDI.

eComprobante COM es una herramienta para la descarga masiva de CFDI con explotación de datos directamente desde Excel mediante dashboards para el análisis y revisión de los principales indicadores de un negocio, así como determinación de las bases de impuesto con fines fiscales y de auditoría.

Entre los beneficios de nuestro sistema encontramos:

• Descarga segura de comprobantes desde portal del SAT mediante el protocolo TLS 1.2 (Transport Layer Security).
• Comprobación de la descarga del 100% de los CFDI en poder del SAT por diferentes métodos.
• Seguridad en descarga y almacenamiento en los CFDI:
• Opción de manejo seguro de comprobantes descargados del portal del SAT mediante su encriptación en archivos .ZIP con contraseña al momento de obtenerlos.
• Opción de manejo seguro de los paquetes obtenidos por peticiones de CFDI por “Web Service” mediante la incorporación en cada paquete de una contraseña.
• Seguridad en el almacenamiento de CFDIs y de su información en base de datos SQL Server manejada con contraseña.
• Control de acceso al sistema por tipo de usuario y por empresa.
• Gestión avanzada de contraseñas mediante la aplicación de políticas robustas (opcional).
• Limitación de acceso por usuario para resguardar la confidencialidad de la información de Nómina.
• Posibilidad de manejar la autenticación de usuarios por Active Directory (opcional).
• Manejo de un “Log” de descargas por usuario y tipo de comprobante.

Te invitamos a que nos contactes para que te expliquemos a profundidad todos los beneficios esta gran herramienta. O bien, descarga la versión demo de eComprobante COM para que pongas a prueba sus prestaciones.