Plataforma Única de Identidad · Guía pública informativa CumpliFix

Guía pública sobre la PUI — qué es, a quién aplica y cómo puede prepararse una institución obligada.

La Plataforma Única de Identidad (PUI) es una infraestructura del Estado mexicano, creada por la LGMDFP, que obliga a los 11 sectores de sujetos obligados —instituciones financieras, telecom, transporte, salud, educación, aviación, migración, seguridad pública, entre otros— a responder en segundos cuando una autoridad busca a una persona. Este material de referencia, elaborado por CumpliFix con fines informativos, reúne qué es, a quién aplica, las fechas, un checklist de preparación, los endpoints técnicos publicados, el glosario y los vacíos regulatorios identificados.

Ir al checklist interactivo → ¿Qué es el PUI?
Fundamento
Art. 12 Bis V LGMDFP
Decreto DOF 16 julio 2025
Aplica a
Sujetos obligados (11 sectores)
Financiero · Telecom · Salud · Educación · Transporte · Migración · +
Esquema
Coincidencias por API
No transferencia de datos · Criterio CNBV sobre secreto bancario
Autoridad
ATDT rectoría · SEGOB/RENAPO supervisa
Sanciones Art. 43 Bis: 10 000 – 20 000 UMAs
En una frase

La PUI conecta a los 11 sectores de sujetos obligados con las autoridades que buscan personas.

Cuando una autoridad registra un reporte de búsqueda, la PUI envía automáticamente una consulta a todos los sujetos obligados inscritos para saber si tienen datos recientes de esa persona. Cada institución consulta internamente y sólo reporta coincidencias — nunca transfiere cuentas, saldos, expedientes o movimientos. La respuesta se entrega en segundos, operando bajo principios de necesidad, proporcionalidad y mínimo privilegio.

👤

Para el ciudadano

Si tú o un familiar desaparece, las autoridades pueden obtener pistas en minutos para localizarlo.

  • Tu información bancaria no se transfiere ni se comparte abiertamente.
  • Sólo se confirma si hay una coincidencia útil para la búsqueda.
  • No sustituye una denuncia ante Fiscalía, la potencia.
  • Aplica aunque la persona cambie de ciudad o de institución.
🏢

Para tu organización (sujeto obligado)

Si no te conectas, estás en incumplimiento del Art. 12 Bis V LGMDFP. SEGOB, vía RENAPO, supervisa.

  • Es una obligación legal, no una opción.
  • Requiere 4 endpoints expuestos y 4 consumidos, con seguridad OWASP.
  • Necesita infraestructura, gobierno y evidencia documentada.
  • Para instituciones financieras: el oficio CNBV confirma que la adhesión no viola el secreto bancario.
🏛️

Para la autoridad

Es el mecanismo de consulta unificado a los 11 sectores de sujetos obligados para casos de búsqueda.

  • Reemplaza oficios individuales a cada institución.
  • Opera en 3 fases: datos básicos, búsqueda histórica y búsqueda continua.
  • Rectoría técnica: ATDT. Supervisión y sanciones: SEGOB vía RENAPO.
  • Respeta los principios de necesidad, proporcionalidad y mínimo privilegio.
Cómo te afecta

Depende de quién seas dentro de tu institución.

El PUI no es sólo un tema técnico. Afecta a quien firma el oficio, a quien diseña el control, a quien codifica el webhook y a quien responde ante SEGOB. Estos son los frentes:

👔

Director General y Consejo

Firman la inscripción, aprueban presupuesto e infraestructura y asumen la responsabilidad frente a SEGOB/RENAPO. El incumplimiento activa el Art. 43 Bis LGMDFP con multas de 10 000 a 20 000 UMAs (≈ $1.1 a $2.3 MDP), además de observaciones supervisoras sectoriales (CNBV en banca, IFT en telecom, etc.).

Responsabilidad legal
⚖️

Compliance Officer & Oficial PLD

Mapea el PUI al marco de LGMDFP y al régimen PLD/FT. Coordina con autoridades, integra runbooks y audita que las coincidencias se gestionen conforme a política interna.

Gobernanza
🛡️

CISO y Comité de Ciberseguridad

Diseña la arquitectura segura, implementa los controles OWASP, ejecuta SAST/DAST/SCA, protege la llave biométrica y responde ante incidentes. Es el dueño operativo del cumplimiento técnico.

Seguridad técnica
💻

Área de Tecnología y Desarrollo

Construye los 8 endpoints (4 expuestos + 4 consumidos), define la base de datos indexable por CURP, programa el scheduler de fase 3 y mantiene los ambientes QA y Producción.

Implementación
📋

Auditoría Interna

Valida evidencias, revisa bitácoras, prueba escenarios de coincidencia y confirma que el runbook funcione antes de un incidente. Prepara el ciclo ante revisión externa.

Aseguramiento
🤝

Áreas de Negocio y Operación

Reciben capacitación sobre qué hacer cuando llega una coincidencia, cómo se escala a Cumplimiento y por qué no deben contactar al cliente cuando hay un reporte activo.

Capacitación
Reloj regulatorio

Las fechas que ya pasaron — y la que aún falta.

Cuatro hitos marcan el calendario de la PUI. Tres ya se cumplieron; uno depende aún de la Agencia de Transformación Digital (ATDT).

16 · Jul · 2025

Decreto de reforma

Se reforma la LGMDFP y nace la obligación de interconectarse con la PUI.

27 · Nov · 2025

Lineamientos PUI

Mecanismos mínimos de seguridad y procedimientos generales.

23 · Ene · 2026

Manual Técnico v1.0

Endpoints, JSON, JWT, cifrado, ciberseguridad y anexos técnicos.

!
31 · Mar · 2026

Plazo de inscripción

Cierre para estar inscrito con webhook probado. Vencido.

Pendiente: el tercer manual operativo (SLA, gobernanza de coincidencias, régimen sancionador) no ha sido publicado por la ATDT. Este documento señala explícitamente dónde aún no hay norma y cómo posicionarte frente a ese vacío.
Checklist interactivo

Tu preparación PUI, rastreada y guardada.

28 puntos accionables organizados por dominio. Marca lo que ya tienes, filtra por tu rol, y exporta un PDF con tu estatus. El progreso se guarda automáticamente en este dispositivo — puedes cerrar y volver sin perder tu avance.

Auto-guardado Exportable a PDF Filtrado por rol
0%
Completado

?Filtra el checklist por tu rol (opcional)

🏆

¡Listos todos los puntos de tu rol!

Imprime o comparte este checklist como evidencia ante una auditoría. También puedes agendar una revisión con CumpliFix para validarlo.

Agendar revisión
🔍

Sin resultados para tu búsqueda

Prueba con otra palabra o limpia el filtro para ver todos los ítems.

Los ítems marcados como Gap de manual dependen de normas aún no publicadas por la ATDT. Recomendación CumpliFix: documentar internamente cómo resuelves cada punto abierto; cuando se publique el tercer manual, esa documentación se convierte en antecedente regulatorio a favor. El progreso se guarda en tu navegador (localStorage). Si limpias tu caché se pierde.
Arquitectura

8 endpoints, 2 direcciones, un solo protocolo.

La comunicación es bidireccional sobre HTTPS + TLS 1.2+ con autenticación JWT Bearer. Selecciona un endpoint para ver su contrato, payload y recomendaciones CumpliFix.

↗ Expones · la PUI te invoca

PUI
<URL_BASE>/<endpoint>
HTTPS · TLS 1.2+ · JWT · UTF-8 · raw-JSON

↙ Consumes · la PUI expone

Bidireccional no significa simétrica. Tu institución consulta internamente contra sus propias bases; la PUI sólo recibe coincidencias confirmadas. El manual prohíbe la transferencia de bases de datos completas.
Lo que aún no está normado

8 vacíos del Manual Técnico v1.0

El manual vigente deja abiertos varios puntos que impactan directamente a seguridad, operación y cumplimiento. La postura CumpliFix: documenta cómo los resuelves hoy; cuando salga el tercer manual, tu documentación se convierte en antecedente a favor.

Gap 01

Tercer manual pendiente

La ATDT tiene pendiente publicar el manual operativo complementario con SLA, gobernanza de coincidencias y régimen sancionador.

Gap 02

SLA de respuesta

Fase 1 dice «respuesta inmediata»; fase 3 queda «a criterio de la institución». No hay timeout contractual ni penalización documentada.

Gap 03

Frecuencia mínima fase 3

«Cada hora, cada 4 horas o diario» es orientativo. Sin piso obligatorio, cada institución define su ventana de exposición.

Gap 04

Retención de logs

Se exige bitácora completa pero no se define ventana de retención, hash chain ni WORM. Alinear a política interna y a los criterios del supervisor sectorial aplicable (CNBV en banca, IFT en telecom, COFEPRIS en salud, etc.).

Gap 05

Rotación de llave biométrica

La clave AES-256-GCM la entrega el Enlace Técnico; no hay protocolo publicado para rotación periódica ni en caso de compromiso.

Gap 06

Resincronización

Se exige el mecanismo, pero no se documenta la ventana de reintento de la PUI ni cómo reconciliar pendientes.

Gap 07

DAST sobre productivo

El manual pide DAST sobre «ambiente productivo». No aclara si se acepta staging idéntico ni cómo evitar falsos positivos con WAF.

Gap 08

Coincidencias múltiples (HTTP 300)

El código existe pero el manual no describe cómo se resuelven esos casos ni qué información adicional se envía.

Guía técnica condensada

Referencia práctica de implementación

Lo que un equipo técnico puede citar durante la implementación. No sustituye al Manual Técnico publicado por la ATDT.

01 · Autenticación & JWT

Los ocho endpoints corren sobre HTTPS con autenticación por token JWT Bearer. Cada parte emite y valida su propio token: tu institución emite el token con el que la PUI te invoca; la PUI emite el token con el que tú consumes sus endpoints.

Login hacia tu sistema — POST /login

{
  "usuario": "PUI",
  "clave": "<cadena alfanumérica de 16-20 chars>"
}

Respuesta esperada:

{
  "token": "eyJhbGciOi...",
  "expiracion": "2026-04-18T15:30:00Z"
}

Reglas del token

  • Expiración obligatoria y no reutilizable (sin refresh tokens de larga duración).
  • Vigencia recomendada: 1 hora. Renovación proactiva al 80% del TTL.
  • MFA obligatorio en accesos administrativos a consolas o paneles de operación.
  • Validación por endpoint, método HTTP y recurso; 401 / 403 sin exponer detalles internos.
Consulta PUI → tu institución: la PUI primero llama /login, obtiene token y recién después invoca /activar-reporte. Modela el flujo completo en tus pruebas, no sólo el endpoint de negocio.

02 · Las 3 fases de búsqueda

Un mismo endpoint de respuesta — /notificar-coincidencia — opera en tres modos discriminados por el campo fase_busqueda.

FaseAlcanceDisparoCampos extra
Fase 1
Datos básicos		Valores más recientes de la CURPAl recibir /activar-reporteUn único registro si hay al menos un dato
Fase 2
Histórica		Registros desde la fecha de desaparición (máx 12 años)Tras fase 1, una sola veztipo_evento, fecha_evento, direccion_evento
Fase 3
Continua		Registros nuevos o modificadosSiempre, hasta /desactivar-reportetipo_evento, fecha_evento, direccion_evento
Gap 02 / Gap 03: el manual dice «lo antes posible» (fase 1) y «a criterio de la institución» (fase 3). No hay SLA ni frecuencia mínima obligatoria. Documenta tu política.

03 · Estructura de datos

Entrada — POST /activar-reporte

Campos obligatorios: id (FUB + UUID4), curp, lugar_nacimiento (Anexo 3). Todo lo demás es opcional y, si existe, debe respetar el contrato de tipos del manual.

{
  "id": "FUB-001-abcd1234-...",
  "curp": "XXXX800101HDFNNN00",
  "lugar_nacimiento": "DIF",
  "nombre": "...", "primer_apellido": "...",
  "fecha_nacimiento": "1980-01-01",
  "fecha_desaparicion": "2024-11-10",
  "sexo_asignado": "M",
  "telefono": "...", "correo": "...",
  "direccion": { "calle": "...", "numero": "...",
    "colonia": "...", "cp": "...", "municipio": "...",
    "entidad": "DIF" }
}

Salida — POST /notificar-coincidencia

Siempre envía: id, curp, institucion_id, fase_busqueda, lugar_nacimiento. Incluye opcionales cuando existan. Fases 2 y 3 exigen datos de evento.

Encoding: UTF-8 en todo el tránsito. Raw-JSON, sin XML y sin multipart. No hay excepciones.

04 · Biométricos

Fotos

  • Resolución mínima ≥ 300 ppi, peso máximo ≤ 240 KB.
  • Formatos png / jpg / bmp (declarados en formato_fotos).
  • Array de strings base64 cifradas con AES-256-GCM.
  • Clave entregada al Enlace Técnico PUI; nunca publicada en repositorios.

Huellas

  • Resolución ≥ 500 ppi, grises de 8 bits, típicamente WSQ (formato_huellas).
  • Objeto JSON con etiquetas del Anexo 2: rone, rtwo, ..., lpalm.
  • Mismo esquema de cifrado que fotos. La PUI no almacena biométricos permanentemente.
Gap 05: no hay protocolo publicado para rotar la clave biométrica ni para actuar en caso de compromiso. Trátala como secreto rotable y mantén un runbook interno.

05 · Ciberseguridad (Sección 11 del Manual)

El manual adopta explícitamente OWASP API Security Top 10, OWASP ASVS, NIST SP 800-53 y NIST SP 800-115.

DominioRequisito
AutenticaciónJWT no reutilizable, MFA admin, expiración obligatoria.
CifradoTLS 1.2+, HSTS, biométricos AES-256-GCM.
ValidaciónRegex por tipo/longitud/formato; rechazo de payloads inesperados.
Anti-abusoRate limiting por IP/usuario/token, detección de enumeración, 429.
Exposición mínimaSólo métodos necesarios; sin stacktraces ni banners; CORS cerrado.
RespuestasSin tokens, contraseñas o PII innecesaria; logs sin datos sensibles.
SAST · DAST · SCA: los tres reportes son obligatorios antes de pasar a productivo. Cero vulnerabilidades críticas/altas/medias/bajas. Los reportes deben venir firmados por la herramienta (no manuales) o la ATDT regresa el trámite.

06 · Códigos HTTP esperados

CódigoSignificadoContexto
200Éxito/login, /activar-reporte, /busqueda-finalizada
300Coincidencias múltiples/notificar-coincidencia con más de una persona
400Solicitud incorrecta / payload inválidoTodos los endpoints
401Token inválido o expiradoTodos los endpoints protegidos
403Credenciales inválidas/login (PUI)
429Too Many Requests — rate limitTodos los endpoints
500Error interno del servidorTodos los endpoints
504Timeout del servidorEndpoints de largo procesamiento
Gap 08: el manual define el código 300 pero no describe cómo se resuelven los casos de coincidencias múltiples ni qué información adicional enviar.

07 · Infraestructura mínima

El Anexo 1 es referencial; en la práctica, para pasar SAST/DAST/SCA la institución debe tener en pie al menos lo siguiente:

ComponenteDescripción
IP pública fijaIPv4 registrada en el portal; ACL contra origen PUI.
URL del webhook<URL_BASE> única; endpoints se concatenan directamente.
Certificado TLS 1.2+Emitido por CA reconocida. Deshabilitar TLS 1.0/1.1 y SSL 2/3.
Base de datos internaRelacional o NoSQL; indexable por CURP; consulta 100% interna.
Ambientes QA & ProductivoCredenciales, IPs y certificados distintos.
ResincronizaciónCola o buffer para reintentar cuando el webhook está caído.
Trazabilidad localLog por caso (id, fase, timestamp, resultado).
Motor de fase 3Scheduler configurable (1 h / 4 h / diario).
StackJava, .NET, Node.js o Python sobre Linux on-premise, nube pública, privada o híbrida.
Glosario técnico-regulatorio

Términos del PUI, explicados en claro.

Definiciones oficiales tomadas del Art. 5 de los Lineamientos PUI, del Manual Técnico v1.0 y de la LGMDFP, con notas de interpretación CumpliFix.

PUI — Plataforma Única de Identidad

Sistema informático operado por el Estado mexicano que permite a las autoridades de búsqueda consultar, de forma automatizada y en segundos, si un sujeto obligado tiene datos de una persona buscada. Opera sobre la infraestructura de la ATDT y se alimenta del RENAPO.

LGMDFP, Art. 12 Bis · Lineamientos Art. 5 fracción XIV

Sujeto obligado

Persona física o moral, pública o privada, con la obligación legal de conectarse al PUI y responder a las consultas de búsqueda. Abarca 11 sectores: financiero, telecom, transporte, aviación, migración, salud, educación, seguridad pública, hospedaje, registros y mensajería.

LGMDFP Art. 12 Bis · Lineamientos Art. 5 fracción XIX

Coincidencia

Resultado positivo que un sujeto obligado reporta al PUI cuando encuentra, en sus bases internas, datos relacionados con la persona buscada. Nunca implica la transferencia del expediente o del saldo — solo indicadores útiles (CURP, fase, tipo y fecha de evento).

Lineamientos Art. 5 fracción IV · Manual Técnico §4

Fase 1 — Búsqueda para completar datos básicos

Primera consulta automática al recibir un reporte de persona buscada. El sujeto obligado confirma, contra sus bases, datos de identificación (nombre, CURP, lugar de nacimiento, etc.) que el RENAPO no tenga completos.

Lineamientos Art. 5 fracción II · Manual Técnico §6.1

Fase 2 — Búsqueda histórica

Barrido de todos los registros históricos del sujeto obligado para la persona reportada. Cada coincidencia histórica se envía al PUI; al terminar, el sujeto obligado notifica /busqueda-finalizada.

Lineamientos Art. 5 fracción III · Manual Técnico §6.2

Fase 3 — Búsqueda continua / monitoreo

Vigilancia programada (hora / 4 h / día) sobre nuevos eventos relacionados con la persona buscada mientras el reporte esté activo. Termina cuando el PUI invoca /desactivar-reporte.

Lineamientos Art. 5 fracción I · Manual Técnico §6.3

ATDT — Agencia de Transformación Digital y Telecomunicaciones

Rector técnico de la PUI. Emite el Manual Técnico, recibe las pruebas SAST/DAST/SCA, activa los ambientes QA y Producción, y atiende al Enlace Técnico PUI. No sanciona — su rol es operativo y de coordinación.

Decreto LGMDFP 2025 · Lineamientos Art. 4

SEGOB — Secretaría de Gobernación (vía RENAPO / CNB)

Autoridad supervisora y sancionadora del cumplimiento PUI. Recibe las solicitudes de inscripción, supervisa la operación y aplica las multas del Art. 43 Bis LGMDFP (10 000 a 20 000 UMAs) a los sujetos obligados que incumplen.

LGMDFP Art. 6, 7, 43 Bis

RENAPO — Registro Nacional de Población

Órgano desconcentrado de SEGOB que opera la parte de datos poblacionales de la PUI y administra los identificadores oficiales (CURP). Canal práctico para la supervisión de SEGOB.

Lineamientos Art. 5 fracción XVII

CNB — Comisión Nacional de Búsqueda

Autoridad nacional que ordena los reportes de búsqueda ingresados a la PUI. Emite y desactiva los casos; es la contraparte sustantiva del operativo.

LGMDFP Art. 50-54

CNBV — Comisión Nacional Bancaria y de Valores

Supervisor sectorial únicamente de bancos, Sofipos, Sofomes ER, casas de bolsa, emisores y demás entidades financieras bajo su jurisdicción. Emitió el oficio VSGIF-B-140-053-2026 (31/mar/2026) que confirma que la adhesión a la PUI no viola el secreto bancario. La CNBV no supervisa la obligación PUI de sectores no financieros.

Oficio CNBV VSGIF-B-140-053-2026

Enlace Técnico PUI

Persona física, designada por oficio del apoderado del sujeto obligado, responsable único de la interlocución con la ATDT y RENAPO. Recibe la llave biométrica AES-256-GCM, opera las rotaciones y escala incidentes técnicos.

Lineamientos Art. 9 · Manual Técnico §5

Llave biométrica

Secreto simétrico AES-256-GCM entregado por la ATDT al Enlace Técnico. Se usa para cifrar los biométricos (fotografía y huellas) antes de colocarlos en el payload de /notificar-coincidencia codificados en base64.

Manual Técnico §7.4

Art. 12 Bis V LGMDFP

Fracción que fija la obligación, para los sujetos obligados, de conectarse al PUI y atender sus consultas en los términos que fije la autoridad.

LGMDFP Art. 12 Bis, fracción V

Art. 43 Bis LGMDFP

Sanciones por incumplir el Art. 12 Bis: multa de 10 000 a 20 000 UMAs (aprox. $1.1 a $2.3 MDP a valor UMA 2026), aplicada por SEGOB. Es independiente de las sanciones que pueda imponer el supervisor sectorial.

LGMDFP Art. 43 Bis

UMA — Unidad de Medida y Actualización

Referencia económica usada por la legislación mexicana para el cálculo de sanciones. Para 2026, el valor diario se publica por el INEGI en enero. Al calcular multas PUI se usa el UMA vigente al momento de la infracción.

INEGI · DOF

SAST / DAST / SCA

SAST = análisis estático del código; DAST = pruebas dinámicas contra el endpoint corriendo; SCA = análisis de composición de software (dependencias y CVEs). La ATDT exige los tres con cero hallazgos críticos antes de pasar de QA a Producción.

Manual Técnico §9

JWT — JSON Web Token

Credencial breve usada para autenticar cada llamada entre la PUI y el sujeto obligado. Vigencia ≤ 1 hora, sin refresh, renovable al 80 % del TTL. No debe persistirse fuera de memoria.

Manual Técnico §7.2

TLS 1.2+

Versión mínima obligatoria del canal cifrado. TLS 1.0, 1.1 y cualquier versión SSL deben estar deshabilitadas. Certificado emitido por CA reconocida, HSTS activo, ciphers modernos.

Manual Técnico §7.3

Webhook / URL base

Punto único que el sujeto obligado expone al internet con IP pública fija. La PUI concatena <URL_BASE>/<endpoint> para invocar /login, /activar-reporte, /activar-reporte-prueba y /desactivar-reporte.

Manual Técnico §4 · §6

Bitácora / log PUI

Registro auditable de cada interacción (request entrante, consulta interna, respuesta emitida) con sello de tiempo. La retención concreta no está normada (Gap 04) y debe definirse por política interna alineada al supervisor sectorial aplicable.

Lineamientos Art. 13 · Gap CumpliFix #04

Secreto bancario / secrecía

Deber de confidencialidad del sector financiero sobre información de sus clientes. El oficio CNBV VSGIF-B-140-053-2026 precisa que responder coincidencias al PUI no vulnera ese deber, porque no hay transferencia de saldos ni de movimientos.

Ley de Instituciones de Crédito · Oficio CNBV 2026
Preguntas frecuentes

Dudas que aparecen una y otra vez.

Respuestas rápidas a lo que ciudadanos, directivos y equipos técnicos preguntan sobre el PUI.

¿El PUI permite que el gobierno vea mis cuentas, expedientes o movimientos?

No. El esquema es de coincidencias, no de transferencia. La PUI envía un identificador (CURP + datos mínimos) al sujeto obligado; cada institución consulta internamente si tiene datos de esa persona y sólo reporta la coincidencia — nunca saldos, expedientes médicos, listas de pasajeros detalladas o movimientos. Para el sector financiero, el oficio CNBV VSGIF-B-140-053-2026 confirma expresamente que la adhesión no viola el secreto bancario.

¿Qué pasa si mi institución no se inscribió a tiempo?

Está en incumplimiento del Art. 12 Bis fracción V de la LGMDFP. La autoridad que supervisa y sanciona es SEGOB vía RENAPO, con multas del Art. 43 Bis de 10 000 a 20 000 UMAs (aprox. $1.1 M a $2.3 M MXN). Adicionalmente, los reguladores sectoriales (CNBV en banca, IFT en telecom, etc.) pueden abrir observaciones propias. La recomendación: iniciar la inscripción extemporánea de inmediato y documentar la trazabilidad del retraso.

¿Quiénes son exactamente los sujetos obligados?

La LGMDFP (Art. 12 Bis) abarca 11 sectores de personas físicas y morales, públicas y privadas:

  1. Instituciones financieras (bancos múltiples, Sofipos, Sofomes ENR/ER, casas de bolsa, emisores de dinero electrónico, administradoras de fondos, aseguradoras, afianzadoras).
  2. Telecomunicaciones (concesionarios y autorizados).
  3. Transporte (terrestre, aéreo, marítimo, ferroviario).
  4. Aviación civil y aeropuertos.
  5. Migración y trámites consulares.
  6. Servicios de salud públicos y privados.
  7. Instituciones educativas.
  8. Seguridad pública y privada.
  9. Hospedaje y servicios turísticos.
  10. Registros civiles y notariados.
  11. Servicios postales y paquetería.

La figura vinculante es el sujeto obligado LGMDFP; los reguladores sectoriales tienen jurisdicción complementaria sobre sus entidades.

¿Qué hace exactamente el webhook que tengo que exponer?

Expone 4 endpoints: /login (autenticación), /activar-reporte (alta de caso), /activar-reporte-prueba (validación) y /desactivar-reporte (baja). La PUI los llama para notificarte una persona buscada; tu institución responde devolviendo coincidencias en 3 fases.

¿Cuánto cuesta implementarlo? ¿Hay un vendor obligatorio?

No hay vendor obligatorio. Se puede construir con stack interno (Java, .NET, Node, Python sobre Linux) o con acompañamiento de un especialista. El costo típico de implementación se divide en desarrollo (50–60%), ciberseguridad y pruebas SAST/DAST/SCA (25–30%) y gobernanza / documentación (15–20%).

¿Cuánto tiempo toma estar listo desde cero?

Con equipo dedicado: 8–12 semanas hasta aprobación de ATDT. Con acompañamiento experto: 4–6 semanas. Los factores críticos son la disponibilidad de IP fija, el certificado TLS, la ventana para pruebas SAST/DAST/SCA y el oficio del Enlace Técnico firmado.

¿Qué hago cuando llega una coincidencia?

Sigue el runbook: valida que la coincidencia es consistente (no un falso positivo), registra en bitácora con sello de tiempo, escala a Cumplimiento / Oficial PLD, y no contactes al cliente — el manejo del caso queda en autoridades. Tu institución sólo responde al PUI con datos de la coincidencia.

¿Este checklist sustituye al Manual Técnico de la ATDT?

No. Es una herramienta de preparación y autoevaluación, no un documento normativo. El manual vigente es el publicado por la ATDT (DOF 23/ene/2026). Este checklist te ayuda a no olvidar ningún frente y a construir evidencia, pero siempre debes validar contra el manual oficial y los Lineamientos PUI.

Servicios CumpliFix · Asesoría regulatoria y acompañamiento

¿Quieres entender tu situación frente al PUI y preparar a tu institución?

CumpliFix acompaña a sujetos obligados de los 11 sectores en el frente regulatorio, documental e institucional: análisis de aplicabilidad, preparación de inscripción, documentación de cumplimiento, estrategia institucional y coordinación del proyecto. CumpliFix no desarrolla software ni integra directamente con la PUI. Cuando se requiere el componente tecnológico, orientamos al cliente y podemos ponerlo en contacto con proveedores especializados independientes —como SAEKO— para que sea el cliente quien contrate directamente ese servicio.

Solicitar información y propuesta → 💬 WhatsApp directo

Aviso importante. CumpliFix presta exclusivamente servicios de asesoría regulatoria, cumplimiento normativo, documentación, análisis de aplicabilidad y acompañamiento institucional. No desarrolla software ni presta directamente servicios de integración tecnológica a la PUI. SAEKO, como empresa independiente, es responsable de los servicios de desarrollo tecnológico, integración con la PUI e infraestructura de software que, en su caso, contrate directamente el cliente.

Diagnóstico regulatorio CumpliFix

Revisión documental y de aplicabilidad en 5 días hábiles contra los 28 puntos del checklist de preparación PUI.

  • Análisis de aplicabilidad LGMDFP a tu institución
  • Gap analysis documental vs. Manual Técnico v1.0
  • Identificación de riesgos regulatorios y quick wins
  • Reporte ejecutivo y plan 30/60/90

Acompañamiento en inscripción y proyecto CumpliFix

Coordinación institucional del proceso de cumplimiento PUI: preparación regulatoria, documentación y orientación al cliente sobre proveedores tecnológicos independientes.

  • Preparación del expediente de inscripción ante ATDT/SEGOB
  • Oficio del Enlace Técnico y documentación soporte
  • Runbooks institucionales de coincidencia e incidentes
  • Orientación y conexión con proveedores tech (p. ej. SAEKO), contratados directamente por el cliente

Auditoría & defensa regulatoria CumpliFix

Preparación para revisión del supervisor aplicable (SEGOB vía RENAPO, CNBV, IFT, COFEPRIS, SEP, etc.) o auditoría interna con evidencia documentada.

  • Mapeo regulatorio completo LGMDFP + sectorial
  • Bitácoras y matriz RACI
  • Políticas de retención y de protección de datos
  • Simulacros y workshops con el comité de cumplimiento