Requisitos de interconexión a la PUI, explicados
Para interconectarse a la Plataforma Única de Identidad, un establecimiento de hospedaje necesita cumplir un checklist técnico concreto. Aquí lo desglosamos para no técnicos: e.firma, perfil en el portal con buzón institucional, acceso con LlaveMX y una URL de consultas con autenticación JWT, cifrado TLS y reportes de seguridad. Con honestidad: la interconexión plena se habilita cuando el gobierno publique el manual pendiente.
Qué significa "interconectarse" a la PUI
Registrar la identidad de tus huéspedes es una cosa; interconectarse es otra. Interconectarse significa que tu establecimiento queda enchufado a la plataforma federal para poder responder, de forma segura y automatizada, cuando la autoridad pregunte si una persona reportada se registró en tu hospedaje.
El modelo es de consulta: la autoridad pregunta por una persona específica (por su CURP o nombre) y tu sistema responde desde tu padrón si hay coincidencia o no. No es monitoreo masivo de tus huéspedes. Para que ese intercambio sea seguro, el gobierno exige una serie de requisitos técnicos que cumplir antes de pasar a producción.
Importante y honesto: la obligación de registrar la identidad ya está vigente, pero la interconexión plena se habilita cuando se publique el Manual de Operación del SNIP, que a la fecha de esta guía sigue pendiente. Al publicarse, arranca un plazo de 45 días hábiles para solicitar el acceso. Este checklist te dice qué necesitarás tener listo para esa ventana.
El checklist de interconexión, paso a paso
Lo que un establecimiento necesita para interconectarse, en orden y en lenguaje claro.
- 1. e.firma del SAT vigenteLa firma electrónica avanzada del SAT que te identifica con validez legal. Persona moral: la del representante legal. Persona física: la del titular. Es el primer requisito de identidad.
- 2. Perfil en el portal oficial + buzón institucionalDas de alta el perfil de tu establecimiento en el portal del gobierno y activas un buzón institucional de notificaciones, por donde llegarán los avisos oficiales relacionados con tu interconexión.
- 3. Acceso con LlaveMXEntras al portal con tu LlaveMX, la identidad digital única y gratuita del gobierno. Es la llave de acceso con la que gestionas todo el proceso desde el portal.
- 4. URL de consultas (endpoint REST)Registras una dirección web (un endpoint REST) donde tu sistema recibirá las consultas de la autoridad. Es la "puerta" por la que entran las preguntas y por la que tu hotel responde.
- 5. Seguridad del endpoint: JWT y TLSEsa URL debe estar protegida con autenticación por tokens JWT (para verificar quién pregunta) y cifrado TLS en el transporte (para que nadie lea la información en el camino).
- 6. Reportes de seguridad antes de producciónAntes de pasar a producción se exigen reportes de seguridad del software: SAST, DAST y SCA. Son análisis que comprueban que tu sistema no tiene vulnerabilidades conocidas antes de conectarse a datos sensibles.
Los términos técnicos, en cristiano
Si los acrónimos te marean, esta es la traducción para dueños y gerentes.
JWT (autenticación)
Un "token" firmado que acompaña cada consulta para probar que quien pregunta tiene permiso. Evita que cualquiera toque tu endpoint.
TLS (cifrado en tránsito)
El mismo candado de las páginas seguras: cifra la información mientras viaja, para que nadie la intercepte ni la lea.
SAST
Análisis del código fuente en busca de fallas de seguridad. Revisa el software "por dentro" antes de exponerlo.
DAST
Pruebas sobre la aplicación ya corriendo, simulando ataques, para detectar vulnerabilidades "en vivo".
SCA
Análisis de las librerías y dependencias que usa tu software, para detectar componentes con vulnerabilidades conocidas.
Endpoint REST
La dirección web (URL) donde tu sistema recibe y responde consultas de forma automatizada. Es la pieza que conecta tu padrón con la plataforma.
Por qué este checklist no es para improvisar
Leído de corrido, el checklist deja clara una cosa: la interconexión no es llenar un formulario. Exige infraestructura técnica seria, montada y mantenida con criterios de seguridad: un endpoint disponible, protegido con JWT y TLS, y respaldado por reportes SAST, DAST y SCA antes de tocar datos sensibles de personas.
Para un hospedaje pequeño o mediano, montar y sostener eso por cuenta propia es poco realista: implica desarrollo, pruebas de seguridad recurrentes y operación continua del endpoint. Por eso lo habitual es apoyarse en un sistema que ya cumple estos requisitos y te interconecta, en lugar de construir y certificar todo desde cero.
Seamos honestos también con los tiempos: aunque tengas listos los prerequisitos, la solicitud formal de acceso se abre cuando el gobierno publique el manual pendiente, con un plazo de 45 días hábiles. Llegar a esa ventana con el checklist resuelto es la diferencia entre conectarte a tiempo o correr contra el reloj.