¿Qué es la PUI en México?

La PUI es una plataforma de consulta e identidad orientada a apoyar procesos de búsqueda, localización e identificación, usando identificadores como la CURP y mecanismos de integración con instituciones públicas y privadas.

¿Qué necesita una institución para integrarse a PUI?

Una institución necesita endpoints seguros, autenticación, validación de solicitudes, trazabilidad, dashboard operativo, bitácoras y evidencias de ciberseguridad como SAST, DAST y SCA.

¿Qué evidencias se recomiendan para PUI?

Se recomiendan reportes de pruebas funcionales, capturas de endpoints, logs protegidos, reportes SAST con Semgrep, DAST con OWASP ZAP y SCA con OWASP Dependency-Check.

Guía visual para instituciones mexicanas

PUI México explicada de forma clara, técnica y vendible.

Una landing profesional para presentar la Plataforma Única de Identidad, su lógica operativa, integración por API, seguridad, dashboard y evidencias de cumplimiento sin abrumar al cliente con código.

Ver flujo operativo Checklist de cumplimiento

⚠ Contenido informativo. La implementación final debe validarse contra los lineamientos oficiales, guía técnica aplicable y criterios legales vigentes.

Panel Operativo PUI

Webhook seguro + evidencias + trazabilidad

Activo

🧾

Reporte recibido

La autoridad activa una solicitud relacionada con una CURP.

/activar-reporte

🔐

Validación de seguridad

Token, firma, payload, origen y reglas de acceso.

JWT

🔎

Búsqueda interna

Consulta controlada en registros internos autorizados.

CURP

📦

Evidencia guardada

Logs, respuesta JSON, fecha, estado y resultado.

Auditoría

{
  "folio": "PUI-2026-0001",
  "curp": "XXXX000000XXXXXX00",
  "resultado": "coincidencia",
  "estado": "registrado",
  "evidencia": "generada"
}

Qué es

Una red de consulta por identidad para responder con orden y evidencia.

La PUI puede entenderse como una infraestructura de consulta que ayuda a identificar coincidencias relevantes en instituciones conectadas, usando datos de identidad como la CURP y flujos controlados de validación.

🎯

Objetivo

Apoyar procesos de búsqueda, localización e identificación mediante consultas estructuradas y trazables.

🧬

Identificador clave

La CURP funciona como punto de referencia para buscar posibles coincidencias en registros autorizados.

🛡️

Condición crítica

No basta con responder. Se debe proteger el dato, registrar trazabilidad y demostrar seguridad técnica.

Identidad

CURP

Nombre Fecha Registro Coincidencia Evidencia

Cómo se debe explicar

La empresa no vende datos: responde solicitudes válidas con controles.

El enfoque profesional es presentar PUI como una combinación de cumplimiento legal, integración técnica, seguridad y evidencia operativa. Esa explicación transmite seriedad y reduce miedo técnico.

Flujo operativo

De una solicitud a una respuesta auditable.

El cliente debe ver un proceso claro: recibir, validar, buscar, responder y guardar evidencia.

Autenticación

La plataforma o cliente autorizado solicita un token mediante credenciales controladas.

Activación del reporte

Se recibe un payload con folio, CURP y datos mínimos necesarios para procesar la solicitud.

Búsqueda interna

El sistema cruza la CURP contra clientes, prospectos, operaciones o registros autorizados.

Respuesta JSON

Se devuelve estado, resultado y datos proporcionales según la regla de negocio y la guía técnica.

Evidencia y auditoría

Se almacena fecha, solicitud, respuesta, IP, estado, coincidencia y resultado de validación.

Arquitectura

Una solución PUI profesional tiene tres bloques visibles.

API segura, motor de búsqueda y tablero de evidencias. Así se presenta fácil ante dirección, legal y tecnología.

🌐 Entrada API / Webhook Recibe solicitudes, valida token, controla payload y responde JSON.

→

🧠 Motor interno Busca por CURP, aplica reglas, detecta coincidencias y clasifica resultados.

📊 Dashboard operativo Permite revisar solicitudes, clientes, pruebas, errores y estados.

→

📁 Evidencias Guarda logs, capturas, reportes SAST/DAST/SCA y exportables.

APIEndpoints listos para integración y pruebas.

JWTAutenticación y control de acceso.

LogsTrazabilidad por solicitud y respuesta.

ZIPPaquete final de evidencias para entrega.

Cumplimiento

Lo que el cliente realmente necesita ver.

La implementación debe sonar sencilla: endpoints funcionando, pruebas realizadas y evidencias organizadas.

Endpoints base para una integración ordenada

Rutas simples, documentadas y probables dentro de un webhook institucional.

POST
/login

Genera token de acceso para solicitudes autorizadas.

POST
/activar-reporte

Recibe reporte, valida CURP y registra búsqueda.

POST
/activar-reporte-prueba

Permite ejecutar pruebas controladas sin afectar operación real.

POST
/desactivar-reporte

Cambia estado del reporte y conserva trazabilidad.

Seguridad mínima esperada

✓HTTPS obligatorio y redirección segura.

✓Validación de token, expiración y firma.

✓Bloqueo de carpetas sensibles como storage, logs y data.

✓Headers: HSTS, X-Frame-Options, nosniff y políticas de referencia.

✓Validación estricta de JSON recibido.

✓Registro de eventos sin exponer secretos.

Evidencias de ciberseguridad y funcionamiento

🔍

SAST

Análisis estático con herramientas como Semgrep para revisar código fuente.

🕷️

DAST

Pruebas dinámicas con OWASP ZAP sobre endpoints publicados.

📦

SCA

Revisión de dependencias con OWASP Dependency-Check.

Operación diaria

La parte más importante para dirección: quién revisa, qué se hace, dónde se consulta y cómo se demuestra.

✓Responsable técnico del webhook.

✓Responsable legal/compliance.

✓Dashboard para revisar estados.

✓Manual de respuesta ante coincidencia.

✓Exportación de reportes y logs.

✓Proceso de actualización y mantenimiento.

Checklist ejecutivo

Antes de entregar, revisa estos puntos.

✓Configuración por empresa e institución.

✓Credenciales seguras y secreto JWT robusto.

✓Endpoint /login probado.

✓Endpoint /activar-reporte probado.

✓Endpoint /desactivar-reporte probado.

✓Base de datos local protegida.

✓Dashboard operativo funcional.

✓CSV o fuente interna de clientes validada.

✓Logs sin exposición pública.

✓Reportes SAST, DAST y SCA generados.

✓Documento ejecutivo preparado.

✓ZIP final de evidencias listo para envío.

Preguntas frecuentes

Respuestas rápidas para clientes no técnicos.

Estas respuestas sirven para una presentación comercial o una junta de cumplimiento.

No debe explicarse así. Lo correcto es hablar de consultas controladas, respuestas proporcionales, validación de solicitudes y trazabilidad.

Dirección debe ver avance, estado de integración, riesgos, evidencias, pruebas completadas y responsable operativo.

Tecnología debe ver endpoints, autenticación, seguridad, logs, validaciones, base de datos y reportes de pruebas.

Compliance debe ver evidencia de control, trazabilidad, proporcionalidad, responsable interno y procedimiento ante coincidencias.

Presentación comercial

La forma más fuerte de vender PUI: no es código, es cumplimiento demostrable.

Una institución necesita una solución que conecte con la plataforma, responda de forma segura, conserve evidencia, pase pruebas de ciberseguridad y pueda explicarse en una junta ejecutiva sin tecnicismos excesivos.

Volver arriba