Catálogo de controles para cualificación QERDS y TSA
274 controles agrupados por marco normativo
274 controles coinciden con los filtros aplicados.
eIDAS-910-2014
Reglamento (UE) 910/2014 – eIDAS
Referencia bibliográfica
Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014. DOUE L 257, 28.8.2014. https://eur-lex.europa.eu/eli/reg/2014/910/oj
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-EIDAS-13 | Art. 13 – Responsabilidad y carga de la prueba | El TSP es responsable de los daños y perjuicios causados intencionada o negligentemente. Para los TSP cualificados se invierte la carga de la prueba: el TSP deb… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-14 | Art. 14 – Aspectos internacionales | Cuando el servicio se preste a usuarios fuera de la UE deben respetarse las obligaciones aplicables. Los servicios de terceros países pueden reconocerse mediant… | NC | Baja | Sí | — | 0 |
| REQ-EIDAS-15 | Art. 15 – Accesibilidad para personas con discapacidad | Cuando sea técnicamente viable, los servicios de confianza y los productos de usuario final deben ser accesibles para las personas con discapacidad. | NC | Baja | Sí | — | 0 |
| REQ-EIDAS-17 | Art. 17 – Canal formal con el organismo de supervisión | El TSP está sujeto a la supervisión del organismo nacional designado (en España, el MINECO/Secretaría de Estado de Digitalización). Debe mantener un canal forma… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-19-1 | Art. 19.1 – Medidas técnicas y organizativas adecuadas | El TSP debe adoptar medidas técnicas y organizativas adecuadas para gestionar los riesgos de seguridad de los sistemas y servicios. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-19-2 | Art. 19.2 – Notificación de violaciones de seguridad en 24h | El TSP debe notificar al supervisor cualquier violación de seguridad o pérdida de integridad significativa SIN DILACIÓN INDEBIDA y a más tardar EN 24 HORAS. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-20-1 | Art. 20.1 – Auditoría bienal por CAB y entrega del CAR | El TSP cualificado debe ser auditado al menos cada 24 meses por un CAB acreditado. Debe presentar el CAR al supervisor en un plazo de 3 días hábiles tras recibi… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-20-2 | Art. 20.2 – Auditorías ad-hoc del supervisor | El supervisor puede solicitar auditorías ad-hoc adicionales al TSP cualificado. El TSP debe cooperar plenamente y sin dilación. | NC | Media | Sí | — | 0 |
| REQ-EIDAS-21-1 | Art. 21.1 – Notificación previa al inicio del servicio cualificado | Antes de prestar un servicio cualificado el TSP debe presentar al supervisor: (a) notificación de la intención de prestar el servicio y (b) el CAR del CAB. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-21-2 | Art. 21.2 – Verificación por el supervisor (≤3 meses) | El supervisor verifica el cumplimiento en un plazo máximo de 3 meses desde la notificación. El TSP debe responder a cualquier requerimiento adicional. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-22 | Art. 22 – Inclusión en la Trusted List (TSL) | El servicio cualificado debe incluirse en la Lista de Confianza nacional (TSL) publicada por el supervisor. Sin inclusión en TSL el servicio NO es jurídicamente… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-23 | Art. 23 – Uso de la etiqueta de confianza UE | Tras la inclusión en TSL el TSP cualificado puede (y debe) usar la etiqueta de confianza UE conforme al Reglamento de Ejecución (UE) 2015/806. | NC | Baja | Sí | — | 0 |
| REQ-EIDAS-24-1A | Art. 24.1.a – Verificación de identidad de los clientes | El TSP cualificado debe verificar la identidad de las personas físicas o jurídicas a las que presta servicio, ya sea en persona o a distancia con medios equival… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1B | Art. 24.1.b – Personal cualificado y competente | El personal del TSP debe poseer los conocimientos, fiabilidad, experiencia y cualificaciones necesarias para los servicios que prestan. | NC | Media | Sí | — | 0 |
| REQ-EIDAS-24-1C | Art. 24.1.c – Recursos financieros suficientes o seguro | El TSP cualificado debe disponer de recursos financieros suficientes y/o un seguro de responsabilidad civil adecuado para cubrir los daños potenciales. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1D | Art. 24.1.d – Información precontractual a los clientes | Antes de la relación contractual, el TSP debe informar a sus clientes en términos claros y comprensibles sobre las condiciones del servicio, incluyendo limitaci… | NC | Media | Sí | — | 0 |
| REQ-EIDAS-24-1E | Art. 24.1.e – Sistemas y productos fiables y certificados | El TSP cualificado debe utilizar sistemas y productos fiables que estén protegidos contra manipulación y garanticen la seguridad técnica de los servicios. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1F | Art. 24.1.f – Sistemas de almacenamiento robustos | Debe usar sistemas de almacenamiento que garanticen disponibilidad, durabilidad e integridad de los datos y las evidencias. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1G | Art. 24.1.g – Medidas contra falsificación y robo | El TSP debe tomar medidas adecuadas para prevenir la falsificación y el robo de los datos, las evidencias y las claves criptográficas. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1H | Art. 24.1.h – Registro y conservación de información | El TSP cualificado debe registrar y mantener accesible toda la información necesaria incluso después del cese del servicio. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1I | Art. 24.1.i – Plan de cese del TSP | El TSP cualificado debe disponer de un plan de cese actualizado que garantice la continuidad del servicio a los usuarios y la conservación de la información. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1J | Art. 24.1.j – Tratamiento de datos personales conforme RGPD | El tratamiento de datos personales por el TSP cualificado debe realizarse conforme al Reglamento (UE) 2016/679 (RGPD). | NC | Media | Sí | — | 0 |
| REQ-EIDAS-24-2 | Art. 24.2 – Verificación remota de identidad por medios equivalentes | Cuando la verificación de identidad se realice a distancia, debe usarse uno de los medios reconocidos del art. 24.2 (notificado, certificado cualificado, o equi… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-41 | Art. 41 – Presunción legal del sello cualificado de tiempo | Un sello cualificado de tiempo electrónico tendrá presunción de exactitud de la fecha y hora indicadas y de la integridad de los datos vinculados. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-42-1 | Art. 42.1 – Requisitos técnicos del sello cualificado de tiempo | Un sello cualificado de tiempo debe: (a) vincular fecha y hora al documento de manera que se evite modificación no detectable; (b) basarse en UTC vinculado a un… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-42-2 | Art. 42.2 – Reconocimiento mutuo del sello de tiempo | Un sello cualificado de tiempo emitido en un Estado miembro es reconocido como sello cualificado en todos los demás Estados miembros. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-43-1 | Art. 43.1 – Cuatro presunciones del servicio QERDS | Los datos enviados/recibidos a través de un servicio QERDS gozan de presunción de: (a) integridad de los datos; (b) envío por emisor identificado con exactitud;… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-43-2 | Art. 43.2 – Distinción clara entre servicio cualificado y no cualificado | Los datos enviados/recibidos a través de un servicio NO cualificado no gozan de las presunciones del art. 43.1. La distinción debe ser clara para los usuarios. | NC | Media | Sí | — | 0 |
| REQ-EIDAS-44-1A | Art. 44.1.a – Cualificación del prestador QERDS | El servicio QERDS debe ser prestado por un PSC cualificado formalmente inscrito en la Trusted List como prestador de QERDS. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-1B | Art. 44.1.b – Identificación del emisor nivel sustancial/alto | El emisor del QERDS debe identificarse con un nivel de aseguramiento SUSTANCIAL o ALTO conforme al Reglamento (UE) 2015/1502. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-1C | Art. 44.1.c – Identificación del destinatario nivel sustancial/alto antes de la entrega | El destinatario del QERDS debe identificarse con nivel SUSTANCIAL o ALTO ANTES de que se produzca la entrega del contenido. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-1D | Art. 44.1.d – Protección de integridad con firma/sello cualificado | El envío y la recepción de datos están protegidos con firma electrónica avanzada o sello electrónico avanzado del PSC cualificado. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-1E | Art. 44.1.e – Sello cualificado de tiempo en todos los hitos | La fecha y hora del envío y de la entrega se indican mediante un sello cualificado de tiempo emitido por una TSA cualificada. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-2 | Art. 44.2 – Interoperabilidad técnica entre QERDS de la UE | Cuando los datos se envíen entre dos PSC cualificados de entrega, los servicios deben ser interoperables conforme a los actos de ejecución que la Comisión adopt… | NC | Media | Sí | — | 0 |
eIDAS-2-2024-1183
Reglamento (UE) 2024/1183 – eIDAS 2
Referencia bibliográfica
Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024. DOUE. https://eur-lex.europa.eu/eli/reg/2024/1183/oj
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-EIDAS2-ARCHIVO | Servicio cualificado de archivo electrónico (fuera del alcance) | eIDAS 2 introduce el servicio cualificado de archivo electrónico (art. 45l). Podría complementar el QERDS en el futuro. | NC | Baja | No | — | 0 |
| REQ-EIDAS2-ATTRIB | Atestaciones electrónicas de atributos (fuera del alcance actual) | eIDAS 2 introduce las atestaciones electrónicas de atributos cualificadas (art. 45g+). No están en el alcance del servicio cualificado actual. | NC | Baja | No | — | 0 |
| REQ-EIDAS2-AUDIT-A | Auditorías de ciberseguridad adicionales bajo eIDAS 2 | eIDAS 2 puede requerir auditorías de ciberseguridad específicas adicionales al CAR bienal, definidas mediante actos de ejecución de la Comisión. | NC | Media | Sí | — | 0 |
| REQ-EIDAS2-CYBER-A | Alineación con NIS2: los TSP cualificados como entidades esenciales | eIDAS 2 refuerza las exigencias de ciberseguridad sobre los TSP cualificados, clasificándolos como entidades esenciales bajo la Directiva NIS2 (UE 2022/2555) y … | NC | Alta | Sí | — | 0 |
| REQ-EIDAS2-IMPL-ACTS | Sistema de seguimiento de Reglamentos de Ejecución eIDAS 2 | eIDAS 2 establece la adopción progresiva de reglamentos de ejecución y actos delegados que detallan los requisitos técnicos para los servicios cualificados. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS2-INCID-A | Plazos de notificación de incidentes reforzados: 24h/72h/1 mes | eIDAS 2 introduce plazos de notificación de incidentes alineados con NIS2: alerta temprana en 24h, notificación detallada en 72h, informe final en 1 mes. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS2-INTEROP-2 | Interoperabilidad transfronteriza reforzada bajo eIDAS 2 | eIDAS 2 refuerza el requisito de interoperabilidad transfronteriza de los servicios cualificados con estándares técnicos comunes. | NC | Media | Sí | — | 0 |
| REQ-EIDAS2-VULN | Notificación de vulnerabilidades graves al supervisor | eIDAS 2 introduce la obligación de notificar vulnerabilidades graves al supervisor o a la autoridad competente de ciberseguridad. | NC | Media | Sí | — | 0 |
| REQ-EIDAS2-WALLET | EUDI Wallet: análisis de impacto futuro (fuera del alcance actual) | eIDAS 2 introduce el European Digital Identity Wallet (art. 6a y ss). Si en el futuro el prestador integra el Wallet como medio de identificación del QERDS, deb… | NC | Baja | No | — | 0 |
ETSI-EN-319-401
ETSI EN 319 401 – General Policy Requirements for TSP
Referencia bibliográfica
ETSI EN 319 401 V2.3.1 (2021-05). Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319400_319499/319401/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-401-5-RA1 | §5 Risk Assessment | El TSP debe realizar y documentar una evaluación de riesgos sobre los servicios que presta, considerando activos, amenazas, vulnerabilidades, probabilidad e imp… | NC | Alta | Sí | — | 0 |
| REQ-401-5-RA2 | §5 Risk Assessment | La evaluación de riesgos debe revisarse periódicamente y tras cualquier cambio significativo en los servicios, infraestructura, organización o entorno de amenaz… | NC | Media | Sí | — | 0 |
| REQ-401-5-RA3 | §5 Risk Assessment | El TSP debe definir y aplicar un tratamiento del riesgo proporcional al nivel evaluado (aceptar / mitigar / transferir / evitar) y aprobado por la dirección. | NC | Alta | Sí | — | 0 |
| REQ-401-6.1-A | §6.1 Internal organization – Entidad legal | El TSP debe ser una entidad legal con fiabilidad demostrable y los recursos necesarios para operar de acuerdo a su política. | NC | Baja | Sí | — | 0 |
| REQ-401-6.1-B | §6.1 Internal organization – Roles y responsabilidades | El TSP debe disponer de una estructura organizativa con definición clara de roles, responsabilidades y líneas de reporte. | NC | Alta | Sí | — | 0 |
| REQ-401-6.1-C | §6.1 Internal organization – Segregación de funciones | El TSP debe asegurar la segregación de funciones para evitar concentración de privilegios incompatibles, especialmente en operaciones criptográficas y auditoría… | NC | Alta | Sí | — | 0 |
| REQ-401-6.1-D | §6.1 Internal organization – Compromiso de la dirección | La dirección del TSP debe demostrar liderazgo y compromiso con el sistema de gestión de seguridad mediante la aprobación de políticas y la asignación de recurso… | NC | Media | Sí | — | 0 |
| REQ-401-6.10-A | §6.10 Collection of evidence – Logs | El TSP debe registrar y conservar evidencias de todos los eventos relevantes para la operación del servicio durante el periodo legalmente exigible. | NC | Alta | Sí | — | 0 |
| REQ-401-6.10-B | §6.10 Collection of evidence – Integridad | Las evidencias y logs del servicio deben protegerse contra alteración, mediante controles técnicos (firma, hashing, WORM) y organizativos. | NC | Alta | Sí | — | 0 |
| REQ-401-6.10-C | §6.10 Collection of evidence – Sincronización temporal | Los relojes de los sistemas que generan evidencias deben sincronizarse con una fuente de tiempo fiable (NTP autoritativa). | NC | Alta | Sí | — | 0 |
| REQ-401-6.11-A | §6.11 Business continuity – Plan | El TSP debe disponer de un plan de continuidad de negocio documentado para los servicios cualificados, con métricas RTO/RPO definidas. | NC | Alta | Sí | — | 0 |
| REQ-401-6.11-B | §6.11 Business continuity – Pruebas | El plan de continuidad debe probarse periódicamente y los resultados deben documentarse y dar lugar a acciones correctoras. | NC | Alta | Sí | — | 0 |
| REQ-401-6.11-C | §6.11 Business continuity – DR | El TSP debe disponer de un plan de recuperación de desastres con sitio alternativo y procedimientos técnicos de conmutación. | NC | Alta | Sí | — | 0 |
| REQ-401-6.12-A | §6.12 Termination plan – Documento | El TSP debe disponer de un Plan de Terminación del Servicio que prevea las actuaciones a realizar en caso de cese, garantizando la continuidad de las evidencias… | NC | Alta | Sí | — | 0 |
| REQ-401-6.12-B | §6.12 Termination plan – Custodia de evidencias | El plan de terminación debe identificar la entidad que se hará cargo de las evidencias en caso de cese y los medios para hacerlo. | NC | Alta | Sí | — | 0 |
| REQ-401-6.12-C | §6.12 Termination plan – Recursos financieros | El TSP debe asegurar la disponibilidad de recursos financieros para la ejecución del plan de terminación. | NC | Alta | Sí | — | 0 |
| REQ-401-6.13-A | §6.13 Compliance – Identificación de requisitos | El TSP debe identificar y mantener actualizados los requisitos legales, regulatorios y contractuales aplicables al servicio. | NC | Media | Sí | — | 0 |
| REQ-401-6.13-B | §6.13 Compliance – Auditoría externa | El TSP cualificado debe someterse a auditoría de conformidad por un Conformity Assessment Body (CAB) acreditado, al menos cada 24 meses. | NC | Alta | Sí | — | 0 |
| REQ-401-6.13-C | §6.13 Compliance – Auditoría interna | El TSP debe disponer de un programa de auditoría interna que verifique periódicamente el cumplimiento de su política y de la normativa. | NC | Media | Sí | — | 0 |
| REQ-401-6.13-D | §6.13 Compliance – Acciones correctoras | Las no conformidades detectadas en auditoría deben gestionarse mediante un proceso formal de acciones correctoras con seguimiento hasta el cierre. | NC | Media | Sí | — | 0 |
| REQ-401-6.2-A | §6.2 Human resources – Verificación | El TSP debe verificar antecedentes del personal con acceso a sistemas críticos antes de la contratación y periódicamente conforme a la legislación aplicable. | NC | Media | Sí | — | 0 |
| REQ-401-6.2-B | §6.2 Human resources – Cualificación | El personal del TSP debe poseer la cualificación, formación y experiencia necesarias para sus funciones, evidenciado mediante CV y certificaciones. | NC | Media | Sí | — | 0 |
| REQ-401-6.2-C | §6.2 Human resources – Formación | El TSP debe disponer de un plan de formación inicial y continua en seguridad de la información y servicios de confianza para todo el personal con acceso al serv… | NC | Media | Sí | — | 0 |
| REQ-401-6.2-D | §6.2 Human resources – Confidencialidad | Todo el personal con acceso al servicio debe firmar acuerdos de confidencialidad y no divulgación, alineados con las obligaciones del TSP. | NC | Baja | Sí | — | 0 |
| REQ-401-6.2-E | §6.2 Human resources – Sanciones | El TSP debe disponer de un proceso disciplinario para incumplimientos de seguridad, comunicado al personal. | NC | Baja | Sí | — | 0 |
| REQ-401-6.3-A | §6.3 Asset management – Inventario | El TSP debe mantener un inventario actualizado de los activos asociados al servicio, con identificación del propietario y la clasificación de seguridad. | NC | Media | Sí | — | 0 |
| REQ-401-6.3-B | §6.3 Asset management – Clasificación | Los activos de información deben clasificarse según su sensibilidad y aplicarles controles proporcionales. | NC | Media | Sí | — | 0 |
| REQ-401-6.3-C | §6.3 Asset management – Soportes | El TSP debe gestionar de forma controlada los soportes que contengan información del servicio (creación, distribución, almacenamiento, destrucción). | NC | Media | Sí | — | 0 |
| REQ-401-6.4-A | §6.4 Access control – Política | El TSP debe establecer una política de control de accesos basada en la necesidad de saber y el privilegio mínimo. | NC | Media | Sí | — | 0 |
| REQ-401-6.4-B | §6.4 Access control – Identificación y autenticación / MFA | Todo acceso a sistemas del servicio debe estar precedido por una autenticación, aplicando autenticación multifactor (MFA) para accesos privilegiados. | NC | Alta | Sí | — | 0 |
| REQ-401-6.4-C | §6.4 Access control – Gestión de privilegios | Los privilegios de acceso deben asignarse por roles, revisarse periódicamente y revocarse al cambio de funciones o cese. | NC | Media | Sí | — | 0 |
| REQ-401-6.4-D | §6.4 Access control – Registro de accesos | Todos los accesos al servicio (especialmente privilegiados) deben quedar registrados en logs íntegros, protegidos y conservados. | NC | Alta | Sí | — | 0 |
| REQ-401-6.5-A | §6.5 Cryptographic controls – Política | El TSP debe disponer de una política de uso de controles criptográficos que defina algoritmos, longitudes de clave y procedimientos de gestión. | NC | Alta | Sí | — | 0 |
| REQ-401-6.5-B | §6.5 Cryptographic controls – Ciclo de vida de claves | El TSP debe gestionar el ciclo de vida completo de las claves criptográficas: generación, distribución, almacenamiento, uso, archivado, recuperación y destrucci… | NC | Alta | Sí | — | 0 |
| REQ-401-6.5-C | §6.5 Cryptographic controls – HSM | Las claves privadas del TSP deben generarse y custodiarse en módulos HSM certificados conforme a estándares reconocidos (FIPS 140-2/3 nivel 3+ o CC EAL4+). | NC | Alta | Sí | — | 0 |
| REQ-401-6.5-D | §6.5 Cryptographic controls – Doble control | Las operaciones críticas sobre claves (generación, backup, restore, destrucción) deben realizarse bajo doble control con custodios identificados. | NC | Alta | Sí | — | 0 |
| REQ-401-6.6-A | §6.6 Physical security – Perímetro | El TSP debe proteger las instalaciones que albergan los sistemas críticos del servicio mediante perímetros físicos definidos y controles de acceso. | NC | Baja | Sí | — | 0 |
| REQ-401-6.6-B | §6.6 Physical security – Controles de acceso físico | El acceso físico a las áreas críticas debe estar controlado, registrado y limitado al personal autorizado. | NC | Baja | Sí | — | 0 |
| REQ-401-6.6-C | §6.6 Physical security – Protecciones ambientales | Las instalaciones deben disponer de protecciones contra fuego, agua, fluctuaciones eléctricas, temperatura y humedad. | NC | Baja | Sí | — | 0 |
| REQ-401-6.7-A | §6.7 Operations – Procedimientos documentados | Las operaciones del servicio deben realizarse conforme a procedimientos documentados, aprobados y mantenidos al día. | NC | Media | Sí | — | 0 |
| REQ-401-6.7-B | §6.7 Operations – Gestión del cambio | Los cambios sobre los sistemas del servicio deben gestionarse mediante un proceso formal con análisis de riesgos, aprobación y trazabilidad. | NC | Media | Sí | — | 0 |
| REQ-401-6.7-C | §6.7 Operations – Gestión de capacidad | El TSP debe planificar y monitorizar la capacidad de los sistemas para asegurar el cumplimiento de los SLA del servicio. | NC | Media | Sí | — | 0 |
| REQ-401-6.7-D | §6.7 Operations – Protección frente a malware | Los sistemas del servicio deben disponer de protección frente a software malicioso con actualización continua y mecanismos de detección. | NC | Media | Sí | — | 0 |
| REQ-401-6.7-E | §6.7 Operations – Backup y restauración | El TSP debe realizar copias de seguridad de la información crítica del servicio y verificar periódicamente su recuperación. | NC | Alta | Sí | — | 0 |
| REQ-401-6.7-F | §6.7 Operations – Gestión de vulnerabilidades | El TSP debe disponer de un proceso de gestión de vulnerabilidades técnicas con identificación, evaluación, parcheado y verificación. | NC | Alta | Sí | — | 0 |
| REQ-401-6.8-A | §6.8 Network security – Segmentación | Las redes del TSP deben segmentarse según niveles de confianza, con controles de filtrado entre segmentos. | NC | Alta | Sí | — | 0 |
| REQ-401-6.8-B | §6.8 Network security – Cifrado en tránsito | Las comunicaciones del servicio (interna y externa) deben protegerse mediante cifrado conforme a las suites criptográficas vigentes. | NC | Alta | Sí | — | 0 |
| REQ-401-6.8-C | §6.8 Network security – Detección de intrusiones | El TSP debe disponer de mecanismos de detección y respuesta ante intrusiones (IDS/IPS, SIEM, SOC). | NC | Alta | Sí | — | 0 |
| REQ-401-6.9-A | §6.9 Incident management – Procedimiento | El TSP debe disponer de un procedimiento formal de gestión de incidentes que cubra detección, clasificación, respuesta, escalado y cierre. | NC | Alta | Sí | — | 0 |
| REQ-401-6.9-B | §6.9 Incident management – Notificación al supervisor | Los incidentes con impacto significativo en el servicio o en los datos personales deben notificarse al organismo de supervisión en los plazos legalmente estable… | NC | Alta | Sí | — | 0 |
| REQ-401-6.9-C | §6.9 Incident management – Lecciones aprendidas | Tras cada incidente significativo el TSP debe realizar un análisis post-mortem y aplicar las lecciones aprendidas. | NC | Media | Sí | — | 0 |
| REQ-401-7-A | §7 TSPS – Existencia | El TSP debe disponer de una Declaración de Prácticas del Servicio (DPC/TSPS) que describa cómo cumple con los requisitos aplicables. | NC | Alta | Sí | — | 0 |
| REQ-401-7-B | §7 TSPS – Términos y condiciones | El TSP debe poner a disposición de los usuarios los términos y condiciones del servicio en lenguaje claro. | NC | Media | Sí | — | 0 |
| REQ-401-7-C | §7 TSPS – Información a partes confiantes | El TSP debe poner a disposición de las partes confiantes información suficiente para que puedan utilizar y validar el servicio adecuadamente. | NC | Media | Sí | — | 0 |
| REQ-401-7-D | §7 TSPS – Política de servicio | La política del servicio (Service Policy) debe describir el nivel de seguridad y los compromisos asumidos, y debe estar aprobada por la dirección. | NC | Alta | Sí | — | 0 |
| REQ-401-SUB-A | §6 Subcontratación de funciones | Cuando el TSP subcontrate funciones operativas del servicio, el subcontratista debe cumplir los requisitos aplicables y el TSP mantiene la responsabilidad. | NC | Alta | Sí | — | 0 |
| REQ-401-SUB-B | §6 Subcontratación – Cloud | Si el TSP utiliza servicios cloud, debe asegurar la conformidad del proveedor con los requisitos aplicables (ENS, ISO 27001, ubicación de datos). | NC | Alta | Sí | — | 0 |
| REQ-401-VULN-A | § Gestión de vulnerabilidades públicas | El TSP debe disponer de una política y un canal de divulgación responsable de vulnerabilidades para receptores externos. | NC | Media | Sí | — | 0 |
ETSI-EN-319-521
ETSI EN 319 521 – ERDS / QERDS
Referencia bibliográfica
ETSI EN 319 521 V1.1.1 (2019-02). Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Electronic Registered Delivery Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319500_319599/319521/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-521-6.1-A | §6 Risk assessment – ERDS | El ERDS Provider debe identificar y evaluar los riesgos específicos del servicio de entrega electrónica certificada, incluyendo riesgos de no-entrega, suplantac… | NC | Alta | Sí | — | 0 |
| REQ-521-7.1-A | §7.1 ERDS Practice Statement | El ERDS Provider debe disponer de una Declaración de Prácticas del Servicio de Entrega (ERDS Practice Statement / ERDS-PS) específica que detalle cómo se presta… | NC | Alta | Sí | — | 0 |
| REQ-521-7.1-B | §7.1 ERDS Disclosure Statement | El ERDS Provider debe publicar una Disclosure Statement con el resumen de las condiciones del servicio destinado a usuarios y partes confiantes, accesible en ca… | NC | Media | Sí | — | 0 |
| REQ-521-7.1-C | §7.1 Términos y condiciones del ERDS | Los términos y condiciones del servicio deben estar adaptados al servicio QERDS, cubriendo alcance, niveles de servicio, responsabilidades, limitaciones y efect… | NC | Media | Sí | — | 0 |
| REQ-521-7.10-A | §7.10 Archivo de registros operativos del ERDS | El ERDS Provider debe archivar los registros operativos (logs de acceso, identificación, generación de evidencias) durante el periodo establecido, mínimo el exi… | NC | Media | Sí | — | 0 |
| REQ-521-7.11-A | §7.11 Procedimiento de quejas y reclamaciones | El ERDS Provider debe disponer de un procedimiento formal de gestión de quejas y reclamaciones accesible, con plazos de respuesta definidos y publicados. | NC | Media | Sí | — | 0 |
| REQ-521-7.11-B | §7.11 Atención al cliente con SLA definido | El ERDS Provider debe disponer de un canal de atención al cliente para incidencias operativas del servicio QERDS, con tiempos de respuesta y resolución definido… | NC | Media | Sí | — | 0 |
| REQ-521-7.2-A | §7.2 Identificación del emisor – ERDS general | El ERDS Provider debe identificar al emisor mediante medios apropiados al nivel de aseguramiento del servicio antes de aceptar el envío. | NC | Alta | Sí | — | 0 |
| REQ-521-7.2-B | §7.2 Identificación cualificada del emisor – QERDS | Para servicios CUALIFICADOS (QERDS), el emisor debe identificarse con un nivel de aseguramiento SUSTANCIAL o ALTO conforme al Reglamento (UE) 2015/1502 antes de… | NC | Alta | Sí | — | 0 |
| REQ-521-7.3-A | §7.3 Identificación del destinatario – ERDS general | El ERDS Provider debe identificar al destinatario ANTES de entregar el contenido, con nivel proporcional al servicio. | NC | Alta | Sí | — | 0 |
| REQ-521-7.3-B | §7.3 Identificación cualificada del destinatario – QERDS | Para servicios CUALIFICADOS (QERDS), el destinatario debe identificarse con un nivel de aseguramiento SUSTANCIAL o ALTO conforme al Reglamento (UE) 2015/1502 AN… | NC | Alta | Sí | — | 0 |
| REQ-521-7.3-C | §7.3 Trato no discriminatorio de destinatarios | El ERDS Provider debe aplicar los criterios de aceptación de destinatarios de forma objetiva y no discriminatoria, y publicar dichos criterios. | NC | Media | Sí | — | 0 |
| REQ-521-7.4-A | §7.4 Integridad del contenido transmitido | El ERDS debe garantizar la integridad del contenido transmitido entre emisor y destinatario mediante mecanismos criptográficos, de forma que cualquier alteració… | NC | Alta | Sí | — | 0 |
| REQ-521-7.4-B | §7.4 Confidencialidad del contenido | El ERDS debe proteger la confidencialidad del contenido durante la transmisión y en reposo, cuando así lo exija el nivel de servicio contratado. | NC | Media | Sí | — | 0 |
| REQ-521-7.4-C | §7.4 Detección de modificaciones verificable por terceros | Cualquier alteración del contenido debe ser verificable por el destinatario y por terceros de forma independiente, usando los mecanismos y claves publicadas por… | NC | Alta | Sí | — | 0 |
| REQ-521-7.5-A | §7.5 Catálogo de evidencias del servicio | El ERDS Provider debe disponer de un catálogo formal de todos los tipos de evidencias generadas en cada hito del flujo (envío, entrega, aceptación, rechazo, no-… | NC | Alta | Sí | — | 0 |
| REQ-521-7.5-B | §7.5 Firma cualificada de evidencias – QERDS | Las evidencias del servicio CUALIFICADO deben estar firmadas o selladas con un sello electrónico CUALIFICADO del prestador, no con firma avanzada simple. | NC | Alta | Sí | — | 0 |
| REQ-521-7.5-C | §7.5 Sellado de tiempo cualificado de evidencias | Las evidencias deben llevar un sello de tiempo CUALIFICADO (RFC 3161 emitido por TSA cualificada) que acredite el momento exacto de su generación. | NC | Alta | Sí | — | 0 |
| REQ-521-7.5-D | §7.5 Estructura semántica conforme EN 319 522-2 | El contenido semántico de las evidencias debe ajustarse al esquema definido por EN 319 522-2 (ERDS Semantic Contents) para garantizar la interoperabilidad. | NC | Media | Sí | — | 0 |
| REQ-521-7.5-E | §7.5 Formato técnico conforme EN 319 522-3 | Las evidencias deben generarse en uno de los formatos técnicos estandarizados por EN 319 522-3 (XML, ASN.1), no en formato propietario. | NC | Media | Sí | — | 0 |
| REQ-521-7.6-A | §7.6 Validación de evidencias por terceros | Las evidencias generadas deben poder ser validadas de forma independiente por terceros mediante procedimientos publicados y herramientas accesibles, sin depende… | NC | Media | Sí | — | 0 |
| REQ-521-7.7-A | §7.7 Sellado de tiempo en todos los hitos del flujo | El servicio QERDS debe incorporar sellado de tiempo cualificado en TODOS los hitos relevantes del flujo (envío, identificación del destinatario, apertura del co… | NC | Alta | Sí | — | 0 |
| REQ-521-7.8-A | §7.8 Preservación a largo plazo de evidencias (LTV/LTA) | Las evidencias deben preservarse durante el periodo legalmente exigible mediante técnicas de preservación a largo plazo (LTV, LTA) que mantengan su verificabili… | NC | Alta | Sí | — | 0 |
| REQ-521-7.8-B | §7.8 Verificación periódica de integridad del archivo | El TSP debe verificar periódicamente la integridad de las evidencias preservadas mediante comprobación de hash o firma, con alertas automáticas en caso de anoma… | NC | Alta | Sí | — | 0 |
| REQ-521-7.9-A | §7.9 Plan de terminación específico ERDS | El ERDS Provider debe disponer de un Plan de Terminación específico para el servicio QERDS que asegure la continuidad del acceso a las evidencias preservadas tr… | NC | Alta | Sí | — | 0 |
| REQ-521-ACCEPT-A | Registro de aceptación expresa o tácita por el destinatario | El servicio debe registrar de forma inequívoca el momento en que el destinatario acepta (o rechaza, o expira el plazo) la comunicación, generando la evidencia c… | NC | Alta | Sí | — | 0 |
| REQ-521-FRAUD-A | Detección y prevención de fraude y suplantación de identidad | El TSP debe disponer de controles operativos para detectar y prevenir el fraude y la suplantación de identidad en el servicio QERDS. | NC | Alta | Sí | — | 0 |
| REQ-521-IMPL-A | Seguimiento de Reglamentos de Ejecución QERDS | El servicio QERDS debe adaptarse a los Reglamentos de Ejecución de la Comisión Europea específicos para el servicio, con seguimiento normativo continuo. | NC | Alta | Sí | — | 0 |
| REQ-521-INTEROP-A | eIDAS art. 44.2 – Interoperabilidad QERDS | El servicio QERDS debe ser técnicamente interoperable con otros QERDS de la UE conforme a los estándares de interoperabilidad establecidos (EN 319 522-1/4). | NC | Media | Sí | — | 0 |
| REQ-521-LEVELS-A | Declaración de niveles de servicio ERDS | El TSP debe declarar y ofrecer claramente los niveles del servicio (cualificado / no cualificado), las variantes disponibles (con/sin confidencialidad) y las ga… | NC | Media | Sí | — | 0 |
| REQ-521-NOPICK-A | Gestión de no-recogida y expiración de plazo | El servicio debe gestionar correctamente los casos de no-recogida o expiración del plazo, generando evidencia formal sellada y comunicando el resultado al emiso… | NC | Media | Sí | — | 0 |
ETSI-EN-319-522
ETSI EN 319 522 – Arquitectura, semántica, formatos y bindings ERDS
Referencia bibliográfica
ETSI EN 319 522-1/2/3/4 V1.1.1 (2018-12). Electronic Signatures and Infrastructures (ESI); Electronic Registered Delivery Services. Parts 1-4. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319500_319599/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-522-1-A | EN 319 522-1 – Arquitectura mapeada al modelo del estándar | El TSP debe documentar la arquitectura del servicio identificando los componentes definidos por EN 319 522-1 y sus interacciones. | NC | Media | Sí | — | 0 |
| REQ-522-1-B | EN 319 522-1 – Roles del servicio identificados | Los roles previstos en el estándar (Sender, Recipient, ERDS Service Provider) deben estar identificados en la arquitectura y en el ERDS-PS. | NC | Media | Sí | — | 0 |
| REQ-522-1-C | EN 319 522-1 – Modelo de prestación declarado | El TSP debe declarar el modelo de prestación que adopta (Style 1: Bilateral, Style 2: Hub & Spoke, Style 3: Multi-provider Federation) y sus implicaciones. | NC | Media | Sí | — | 0 |
| REQ-522-1-D | EN 319 522-1 – Capability Document publicado | El TSP debe publicar un descriptor de capacidades del servicio accesible en un endpoint estándar, describiendo los niveles de identificación, formatos y protoco… | NC | Media | Sí | — | 0 |
| REQ-522-2-A | EN 319 522-2 – Contenido semántico de cada tipo de evidencia | El contenido semántico de cada tipo de evidencia (Submission, Delivery, Acceptance, Rejection, Expiry) debe ajustarse al esquema de EN 319 522-2. | NC | Media | Sí | — | 0 |
| REQ-522-2-B | EN 319 522-2 – Identificadores únicos (Message-ID, Evidence-ID) | Cada evidencia debe contener identificadores únicos (Message-ID, Evidence-ID, Transaction-ID) que permitan trazabilidad cruzada entre evidencias de un mismo env… | NC | Media | Sí | — | 0 |
| REQ-522-2-C | EN 319 522-2 – Marcas temporales semánticas completas | Las evidencias deben incluir todas las marcas temporales semánticas requeridas (submission time, delivery time, acceptance time, etc.) con sello cualificado. | NC | Alta | Sí | — | 0 |
| REQ-522-3-A | EN 319 522-3 – Evidencias en formato estándar (XML/ASN.1) | Las evidencias deben emitirse en uno de los formatos técnicos estandarizados (XML o ASN.1) conforme EN 319 522-3, validables contra esquemas oficiales. | NC | Media | Sí | — | 0 |
| REQ-522-3-B | EN 319 522-3 – Firmas de evidencias con perfiles AdES (XAdES, CAdES, PAdES) | Las evidencias firmadas deben seguir perfiles AdES (XAdES, CAdES o PAdES) conforme a los estándares ETSI correspondientes, con nivel LTV o LTA. | NC | Alta | Sí | — | 0 |
| REQ-522-3-C | EN 319 522-3 – Empaquetado estándar de conjuntos de evidencias | Cuando se entreguen múltiples evidencias como paquete, debe usarse un formato de empaquetado estándar (ASiC o equivalente). | NC | Media | Sí | — | 0 |
| REQ-522-4-A | EN 319 522-4 – Common Service Interface para interoperabilidad | Si el TSP expone un API para interoperabilidad con otros ERDS o partes confiantes, debe ajustarse al Common Service Interface de EN 319 522-4-1. | NC | Media | Cond. | — | 0 |
| REQ-522-4-B | EN 319 522-4 – Binding REST conforme al estándar | Si el servicio QERDS se expone como API REST, debe seguirse el binding REST de EN 319 522-4, con las URLs, verbos y payloads definidos. | NC | Media | Cond. | — | 0 |
| REQ-522-4-C | EN 319 522-4 – Binding REM para email certificado europeo | Si el TSP ofrece compatibilidad con REM (Registered Electronic Mail), debe seguir el perfil REM de EN 319 522-4 para interoperabilidad con otros prestadores REM… | NC | Baja | Cond. | — | 0 |
ETSI-EN-319-421
ETSI EN 319 421 – Policy and Security Requirements for TSA
Referencia bibliográfica
ETSI EN 319 421 V1.2.1 (2023-04). Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319400_319499/319421/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-421-6-RA | §6 Risk assessment específico TSA | El TSA debe realizar un análisis de riesgos específico considerando las amenazas propias del sellado de tiempo: compromiso de clave TSU, desincronización, supla… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.1-A | §7.1 TSA Practice Statement (TSPS) | El TSA debe disponer de una Declaración de Prácticas (TSA Practice Statement / TSPS) específica, publicada y aprobada formalmente, con OID asignado. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.1-B | §7.1 Time-Stamping Policy | El TSA debe definir y publicar una Time-Stamping Policy (política de sellado de tiempo) con OID propio que el TSPS implementa. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.1-C | §7.1 OID de la política en los tokens | El OID de la Time-Stamping Policy debe incluirse en el campo policyId de cada token RFC 3161 emitido, vinculando el token a sus garantías declaradas. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.1-D | §7.1 Disclosure Statement de la TSA | El TSA debe publicar un Disclosure Statement accesible al usuario con el resumen de las condiciones del servicio en lenguaje comprensible. | NC | Media | Cond. | — | 0 |
| REQ-421-7.2-A | §7.2 Generación de claves de la TSU | Las claves de la Time-Stamping Unit (TSU) deben generarse dentro del HSM, bajo una ceremonia formal con doble control y custodios identificados, con acta firmad… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-B | §7.2 Protección de la clave privada TSU en HSM certificado | La clave privada de la TSU debe permanecer protegida en HSM certificado conforme a FIPS 140-2/3 nivel 3+ o CC EAL4+ y nunca exportarse en claro. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-C | §7.2 Certificado de la TSU emitido por CA cualificada | La clave pública de la TSU debe estar embebida en un certificado emitido por una CA cualificada inscrita en la LOTL europea, formando una cadena de confianza pú… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-D | §7.2 Periodo de validez de la clave TSU y rotación | El periodo de validez de la clave TSU debe ser inferior al periodo de uso seguro del algoritmo conforme TS 119 312, con política de rotación documentada. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-E | §7.2 Rekeying de la TSU sin interrupción del servicio | Antes de la expiración de la clave de la TSU debe ejecutarse un proceso de rekey que renueve la clave y su certificado sin interrupción del servicio. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-F | §7.2 Destrucción irreversible de la clave TSU al final del ciclo | Al finalizar el ciclo de vida la clave privada de la TSU debe destruirse de forma irreversible dentro del HSM y el hecho debe documentarse con acta y logs. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-G | §7.2 Plan de respuesta ante compromiso de clave TSU | El TSA debe disponer de un procedimiento de respuesta ante el compromiso real o sospechado de la clave privada de la TSU, incluyendo revocación, comunicación y … | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-A | §7.3 Emisión de tokens conforme EN 319 422 y RFC 3161 | El TSA debe emitir tokens de sellado de tiempo conformes al perfil definido por EN 319 422 y RFC 3161, con todos los campos obligatorios presentes. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-B | §7.3 Sincronización del reloj TSU con UTC (precisión ≤1 s) | El reloj de la TSU debe estar sincronizado con UTC con una precisión mejor o igual a 1 segundo, mediante mecanismos auditables y trazables a una fuente reconoci… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-C | §7.3 Parada automática ante desviación fuera de tolerancia | Si el reloj de la TSU se desvía más allá de la precisión declarada, el TSA debe detener automáticamente la emisión de tokens hasta restablecer la sincronización… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-D | §7.3 Algoritmos de hash y firma en tokens conforme TS 119 312 | Los algoritmos de hash y firma usados en los tokens deben ser los aprobados por ETSI TS 119 312 vigente, eliminando los deprecados. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-E | §7.3 Re-firma de tokens para preservación a largo plazo | Para preservación a largo plazo, los tokens deben poder re-firmarse con nuevos sellos de tiempo antes de la expiración del algoritmo o de la clave TSU. | NC | Media | Cond. | — | 0 |
| REQ-421-7.4-A | §7.4 Calibración periódica del reloj TSU | El TSA debe calibrar el reloj de la TSU con la frecuencia necesaria para mantener la precisión declarada, usando metodología trazable, con registros. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.5-A | §7.5 Endpoint de la TSA conforme RFC 3161 | El endpoint HTTP/HTTPS del servicio TSA debe implementarse conforme RFC 3161 §3.4 con los Content-Types correctos y publicado en el TSPS. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.6-A | §7.6 SLA de disponibilidad declarado y medido | El TSA cualificado debe declarar en el TSPS un nivel de disponibilidad del servicio y mantener métricas reales de cumplimiento. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.6-B | §7.6 Plan de continuidad específico TSA | El TSA debe disponer de un plan de continuidad (BCP) específico con arquitectura redundante, claves replicadas en HSM secundario y pruebas anuales documentadas. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.6-C | §7.6 Registro de eventos de la TSA | El TSA debe registrar todos los eventos relevantes (emisión de tokens, errores, alertas NTP, accesos al HSM) y conservarlos durante el periodo establecido con i… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.7-A | §7.7 Roles específicos de la TSA con segregación | El TSA debe identificar los roles específicos del servicio (Security Officer, System Administrator, System Operator, System Auditor) con segregación incompatibl… | NC | Alta | Cond. | — | 0 |
| REQ-421-8-A | §8 Plan de terminación específico TSA | El TSA debe disponer de un Plan de Terminación específico que prevea las actuaciones en caso de cese, incluyendo la conservación de los registros necesarios par… | NC | Alta | Cond. | — | 0 |
| REQ-421-DECIDE | Decisión arquitectónica: TSA propia vs. externa | El TSP debe decidir formalmente y documentar si cualifica una TSA propia o utiliza una TSA externa cualificada, con análisis de coste, beneficio, riesgo y plazo… | NC | Alta | Sí | — | 0 |
| REQ-421-EXT-A | TSA externa – Verificación de cualificación en LOTL | Si el prestador utiliza una TSA externa, debe verificarse que la TSA está incluida en una Trusted List europea como TSA cualificada para los servicios contratad… | NC | Alta | Cond. | — | 0 |
| REQ-421-EXT-B | TSA externa – Contrato con cláusulas específicas eIDAS | El contrato con la TSA externa debe incluir cláusulas específicas: obligaciones eIDAS, SLA alineado con el QERDS, notificación de incidentes, derechos de audito… | NC | Alta | Cond. | — | 0 |
| REQ-421-EXT-C | TSA externa – TSA secundaria como backup | Cuando se use TSA externa, debe preverse un TSA secundaria cualificada como backup con configuración de failover automático o manual probada. | NC | Alta | Cond. | — | 0 |
ETSI-EN-319-422
ETSI EN 319 422 – Time-stamping protocol and time-stamp profile
Referencia bibliográfica
ETSI EN 319 422 V1.1.1 (2016-03). Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and electronic time-stamp profiles. ETSI. https://www.etsi.org/deliver/etsi_en/319400_319499/319422/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-422-A | §5 Perfil de la petición de sellado (TSA request) | Las peticiones de sellado recibidas por el TSA deben ajustarse al perfil definido por EN 319 422 §5, que restringe las opciones de RFC 3161. | NC | Alta | Cond. | — | 0 |
| REQ-422-B | §6 Perfil del token de sellado (TSTInfo) | Los tokens emitidos deben ajustarse al perfil definido en EN 319 422 §6, con todos los campos obligatorios presentes y correctos. | NC | Alta | Cond. | — | 0 |
| REQ-422-C | §6 Algoritmos de hash en tokens: SHA-256 mínimo | El algoritmo de hash usado en el campo messageImprint del token debe ser SHA-256 o superior. SHA-1 y MD5 NO son aceptables. | NC | Alta | Cond. | — | 0 |
| REQ-422-D | §6 Algoritmo de firma del token: RSA-3072+ o ECDSA P-256+ | El algoritmo de firma del TSU (con que se firma el CMS SignedData del token) debe cumplir los requisitos de TS 119 312. | NC | Alta | Cond. | — | 0 |
| REQ-422-E | §6 Campo policy (OID) en cada token | Cada token debe incluir el campo policy con el OID de la Time-Stamping Policy bajo la que se emite, trazable a una política publicada. | NC | Alta | Cond. | — | 0 |
| REQ-422-F | §6 Campo accuracy: precisión del reloj declarada | El token debe incluir el campo accuracy cuando la política de la TSA establezca una precisión específica, indicando la desviación máxima respecto a UTC. | NC | Media | Cond. | — | 0 |
| REQ-422-G | §6 SerialNumber único e impredecible | El número de serie de cada token debe ser único en el universo de tokens del TSA e impredecible. | NC | Alta | Cond. | — | 0 |
| REQ-422-H | §6 Token encapsulado en CMS SignedData conforme al perfil | El token completo debe estar encapsulado en un CMS SignedData con la cadena de certificados del TSU correctamente incluida o referenciada. | NC | Alta | Cond. | — | 0 |
| REQ-422-I | §6 Estrategia de validación a largo plazo (LTV) | Los tokens deben diseñarse para permitir su validación a largo plazo, incluyendo información de revocación en el momento de emisión o mediante re-firma posterio… | NC | Media | Cond. | — | 0 |
| REQ-422-J | RFC 3161 §3.4 – HTTP/HTTPS binding con Content-Types correctos | El endpoint HTTP del TSA debe implementar el binding de RFC 3161 §3.4 con los Content-Types específicos: application/timestamp-query y application/timestamp-rep… | NC | Media | Cond. | — | 0 |
ETSI-TS-119-312
ETSI TS 119 312 – Cryptographic Suites
Referencia bibliográfica
ETSI TS 119 312 V1.4.4 (2023-09). Electronic Signatures and Infrastructures (ESI); Cryptographic Suites. ETSI. https://www.etsi.org/deliver/etsi_ts/119300_119399/119312/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-312-AES | Cifrado simétrico: AES-128/256 en modo autenticado (GCM/CCM) | El cifrado simétrico debe usar AES (128 bits mínimo, 256 recomendado) en modo autenticado (GCM, CCM o equivalentes con integridad). ECB y CBC sin MAC son inacep… | NC | Media | Sí | — | 0 |
| REQ-312-DEPRECATION | Eliminación de algoritmos deprecados en todos los componentes | El TSP debe identificar y eliminar usos de algoritmos deprecados (DES, 3DES, MD5, SHA-1, RSA-1024, RC4, SSL/TLS 1.0) en TODOS los componentes del servicio, incl… | NC | Alta | Sí | — | 0 |
| REQ-312-ECDSA | ECDSA: curvas aceptables (P-256, P-384, P-521, Brainpool) | Para firmas ECDSA, solo se aceptan curvas estándar: P-256, P-384, P-521 (NIST), Brainpool P-256r1, P-384r1, P-512r1. No se aceptan curvas no auditadas. | NC | Media | Sí | — | 0 |
| REQ-312-HASH | Algoritmos de hash: SHA-256 mínimo en toda la cadena | Los algoritmos de hash usados en todo el servicio (tokens, firmas, evidencias, protocolos) deben ser SHA-256, SHA-384, SHA-512 o SHA-3. SHA-1, MD5 y MD4 son ina… | NC | Alta | Sí | — | 0 |
| REQ-312-INTEROP | Interoperabilidad criptográfica con herramientas estándar | La elección de algoritmos debe asegurar que los tokens, firmas y evidencias son verificables con herramientas estándar europeas (eIDAS DSS, @Firma, AutoFirma, A… | NC | Media | Sí | — | 0 |
| REQ-312-PERIOD | Periodos de validez de claves conforme tablas TS 119 312 | Las claves criptográficas deben rotarse antes del período máximo de uso definido en las tablas de TS 119 312 §6 para el algoritmo y longitud específicos. | NC | Alta | Sí | — | 0 |
| REQ-312-PQ | Preparación post-cuántica: evaluación de impacto | El TSP debe evaluar el impacto de la computación cuántica en sus algoritmos actuales y planificar la adopción de algoritmos post-cuánticos cuando ETSI los norma… | NC | Baja | Sí | — | 0 |
| REQ-312-RNG | Generación de aleatoriedad: CSPRNG validado o TRNG hardware | Las claves criptográficas, nonces, IVs y serialNumbers deben generarse usando un generador de números aleatorios criptográficamente seguro (CSPRNG) o un generad… | NC | Alta | Sí | — | 0 |
| REQ-312-RSA | RSA: longitud mínima de clave 3072 bits | Para firmas RSA, la longitud de clave mínima aceptable es de 3072 bits para nuevas claves. Se recomienda 4096 bits para servicios con preservación a largo plazo… | NC | Alta | Sí | — | 0 |
| REQ-312-RSAPSS | RSA-PSS preferido sobre PKCS#1 v1.5 para nuevos despliegues | Para firmas RSA en nuevas implementaciones, se prefiere RSA-PSS sobre PKCS#1 v1.5 por sus mejores propiedades de seguridad formal. | NC | Media | Sí | — | 0 |
| REQ-312-TLS | TLS 1.2/1.3 con suites seguras; SSL/TLS 1.0/1.1 desactivados | Las conexiones TLS de los endpoints del servicio deben usar TLS 1.2 (mínimo) o TLS 1.3, con suites criptográficas actualmente seguras. SSLv3, TLS 1.0 y TLS 1.1 … | NC | Alta | Sí | — | 0 |
| REQ-312-TRANSITION | Plan de transición criptográfica (crypto-agility) | El TSP debe disponer de un plan de transición ante el debilitamiento de algoritmos, con capacidad de cambiar algoritmos sin reescribir el servicio. | NC | Media | Sí | — | 0 |
ETSI-EN-319-403
ETSI EN 319 403 – TSP Conformity Assessment (CAR)
Referencia bibliográfica
ETSI EN 319 403-1 V2.3.1 (2020-06), TS 119 403-2 V1.2.4 (2021-09), TS 119 403-3 V1.1.1 (2019-03). ETSI. https://www.etsi.org/deliver/etsi_en/319400_319499/31940301/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-403-AUD-A | Auditoría in situ: acceso al personal, sistemas y operaciones | La auditoría in situ incluye entrevistas con personal clave, observación directa de operaciones y revisión técnica de sistemas. El TSP debe facilitar todo el ac… | NC | Alta | Sí | — | 0 |
| REQ-403-AUD-B | Cobertura completa de cláusulas aplicables | La auditoría debe cubrir la totalidad de las cláusulas aplicables de EN 319 521, EN 319 421, EN 319 401 y del Reglamento eIDAS. La cobertura debe documentarse e… | NC | Alta | Sí | — | 0 |
| REQ-403-AUD-C | Verificación técnica de la implementación criptográfica | La auditoría debe incluir verificación técnica real de la implementación criptográfica: HSM, gestión de claves, tokens emitidos, algoritmos. | NC | Alta | Sí | — | 0 |
| REQ-403-CAB-A | Selección del CAB: acreditado por ENAC con alcance adecuado | La auditoría de conformidad debe realizarse por un CAB acreditado por ENAC bajo ISO/IEC 17065 con alcance que cubra servicios eIDAS QERDS y TSA. | NC | Alta | Sí | — | 0 |
| REQ-403-CAB-B | Independencia y competencia del equipo auditor | El CAB debe demostrar independencia del TSP y que los auditores asignados tienen competencia específica en eIDAS, QERDS y TSA. | NC | Alta | Sí | — | 0 |
| REQ-403-CAR-A | Emisión del CAR: documento formal firmado por el CAB | El CAB emite el Conformity Assessment Report (CAR) que documenta formalmente el resultado de la auditoría, firmado por el CAB. | NC | Alta | Sí | — | 0 |
| REQ-403-CAR-B | Vigencia del CAR: renovación bienal planificada | El CAR tiene una vigencia máxima de 24 meses (eIDAS art. 20.1). La renovación debe planificarse con suficiente antelación para evitar lapsos en la cualificación… | NC | Media | Sí | — | 0 |
| REQ-403-CONFIDENCIAL | NDA específico con el CAB para proteger información sensible | El acuerdo con el CAB debe incluir cláusulas estrictas de confidencialidad sobre toda la información a la que el auditor tendrá acceso durante la auditoría. | NC | Alta | Sí | — | 0 |
| REQ-403-COST-A | Provisión presupuestaria recurrente para auditorías bienales | Los costes de las auditorías CAR son a cargo del TSP y deben estar provisionados en el presupuesto plurianual del servicio. | NC | Media | Sí | — | 0 |
| REQ-403-FIND-A | Clasificación y gestión de hallazgos de la auditoría | Los hallazgos identificados deben clasificarse (NC mayor, NC menor, observación) y gestionarse mediante un plan de remediación con plazos acordados con el CAB. | NC | Alta | Sí | — | 0 |
| REQ-403-FIND-B | Cierre de todas las NC mayores antes del CAR positivo | Las No Conformidades Mayores (NCM) deben estar cerradas y verificadas por el CAB antes de que pueda emitirse un CAR positivo. | NC | Alta | Sí | — | 0 |
| REQ-403-INCID-A | Disposición para auditorías ad-hoc del supervisor | El supervisor puede ordenar auditorías ad-hoc adicionales. El TSP debe tener un procedimiento para colaborar plenamente en auditorías no planificadas. | NC | Media | Sí | — | 0 |
| REQ-403-PREP-A | Preparación: paquete documental previo a la auditoría | Antes de la auditoría, el TSP debe entregar al CAB el paquete documental completo (DPC, ERDS-PS, análisis de riesgos, procedimientos, registros) con suficiente … | NC | Alta | Sí | — | 0 |
| REQ-403-PREP-B | Pre-auditoría interna o asistida antes de la auditoría CAR | Se recomienda firmemente realizar una pre-auditoría interna o asistida por consultor que simule la auditoría real y detecte hallazgos a tiempo. | NC | Media | Sí | — | 0 |
| REQ-403-SUPER-A | Entrega del CAR al supervisor en ≤3 días hábiles | Tras recibir el CAR, el TSP debe entregarlo al organismo supervisor en un plazo máximo de 3 días hábiles desde su recepción. | NC | Alta | Sí | — | 0 |
LEY-6-2020
Ley 6/2020 – Servicios electrónicos de confianza (España)
Referencia bibliográfica
Ley 6/2020, de 11 de noviembre. BOE núm. 298, 12 de noviembre de 2020. https://www.boe.es/eli/es/l/2020/11/11/6
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-L6-10-1 | Art. 10.1 – SGSI apropiado y retención mínima de 5 años | El prestador no cualificado debe disponer de SGSI apropiado. Para cualificados, el SGSI debe cumplir EN 319 401. La retención mínima de datos es de 5 AÑOS. | NC | Media | Sí | — | 0 |
| REQ-L6-10-2 | Art. 10.2 – Información precontractual al usuario | El prestador debe informar al usuario, de forma clara y antes de contratar, de las condiciones del servicio, sus limitaciones y la política de privacidad. | NC | Media | Sí | — | 0 |
| REQ-L6-11-1 | Art. 11.1 – Solvencia técnica y financiera del PSC cualificado | Los prestadores cualificados deben demostrar solvencia técnica suficiente para prestar el servicio y solvencia financiera suficiente para responder a las obliga… | NC | Alta | Sí | — | 0 |
| REQ-L6-11-2 | Art. 11.2 – Seguro de responsabilidad civil mínimo 1.500.000 € | El prestador cualificado DEBE disponer de un seguro de responsabilidad civil por importe MÍNIMO de 1.500.000 € para cubrir los daños que pueda causar. | NC | Alta | Sí | — | 0 |
| REQ-L6-12-1 | Art. 12.1 – Notificación previa al inicio del servicio cualificado | Antes de prestar un servicio cualificado, el TSP debe notificarlo al Ministerio competente acompañando el CAR del CAB acreditado. | NC | Alta | Sí | — | 0 |
| REQ-L6-12-2 | Art. 12.2 – Notificación de cambios sustanciales al servicio | Los cambios sustanciales en el servicio cualificado deben notificarse al supervisor. Un CAR de seguimiento puede ser necesario. | NC | Media | Sí | — | 0 |
| REQ-L6-13-1 | Art. 13.1 – Notificación del cese con 2 meses de antelación | El cese de la prestación de un servicio cualificado debe notificarse al supervisor con AL MENOS 2 MESES de antelación. | NC | Alta | Sí | — | 0 |
| REQ-L6-13-2 | Art. 13.2 – Custodia post-cese mínimo 15 años (servicio cualificado) | Tras el cese, debe garantizarse la custodia de la información del servicio cualificado durante un período mínimo de 15 AÑOS. | NC | Alta | Sí | — | 0 |
| REQ-L6-15 | Art. 15 – Auditoría por CAB acreditado por ENAC | Las auditorías exigidas por el art. 20 de eIDAS deben realizarse por organismos de evaluación de la conformidad (CAB) acreditados conforme a la normativa españo… | NC | Alta | Sí | — | 0 |
| REQ-L6-19 | Art. 19 – Procedimiento de identificación remota conforme normativa | El procedimiento de identificación remota usado para emisores o destinatarios del QERDS debe respetar la normativa específica aplicable. | NC | Alta | Sí | — | 0 |
| REQ-L6-21 | Art. 21 – Cooperación con inspecciones del supervisor | El supervisor podrá realizar inspecciones presenciales y requerir documentación. El prestador debe cooperar plenamente y sin dilación. | NC | Media | Sí | — | 0 |
| REQ-L6-23 | Art. 23 – Infracciones muy graves (sanción hasta 1.500.000 €) | Constituyen infracciones muy graves: prestar servicios cualificados sin estar en TSL, incumplir la notificación de incidentes en 24h, incumplir la notificación … | NC | Alta | Sí | — | 0 |
| REQ-L6-24 | Art. 24 – Infracciones graves (sanción 30.001 a 500.000 €) | Constituyen infracciones graves: incumplir obligaciones del art. 24 eIDAS, retrasar la notificación de incidentes, incumplir cambios sustanciales, entre otras. | NC | Alta | Sí | — | 0 |
| REQ-L6-25 | Art. 25 – Infracciones leves (sanción hasta 30.000 €) | Constituyen infracciones leves el incumplimiento de obligaciones formales: no publicar información requerida, no mantener documentación actualizada, etc. | NC | Baja | Sí | — | 0 |
| REQ-L6-3 | Art. 3 – Régimen jurídico integrado eIDAS + Ley 6/2020 | Los servicios de confianza se rigen por el Reglamento eIDAS, esta Ley y su normativa de desarrollo. La documentación del servicio debe reflejar coherentemente t… | NC | Baja | Sí | — | 0 |
| REQ-L6-7-1 | Art. 7.1 – Vídeo-identificación conforme a normativa española | Cuando la verificación de identidad se realice mediante vídeo-identificación, debe cumplir las normas, instrucciones técnicas u obligaciones de uso aprobadas po… | NC | Alta | Sí | — | 0 |
| REQ-L6-7-2 | Art. 7.2 – Métodos alternativos de identificación equivalentes | Otros métodos de identificación remota distintos a la vídeo-id se reconocen si proporcionan seguridad equivalente, conforme a las condiciones que establezca el … | NC | Media | Sí | — | 0 |
| REQ-L6-9 | Art. 9 – Responsabilidad del prestador | Los prestadores de servicios de confianza son responsables del cumplimiento de las obligaciones establecidas en eIDAS y en esta Ley, independientemente de que s… | NC | Media | Sí | — | 0 |
| REQ-L6-DA | Disposición Adicional – Coordinación con AAPP autonómicas y locales | Cuando el servicio QERDS se preste a Administraciones Públicas autonómicas o locales, deben respetarse las normas de coordinación aplicables. | NC | Baja | Sí | — | 0 |
| REQ-L6-DT | Disposiciones Transitorias – Adaptación de servicios pre-existentes | Los servicios prestados antes de la entrada en vigor de la Ley deben adaptarse a sus requisitos en los plazos establecidos. | NC | Baja | Sí | — | 0 |
ENS-ALTA
ENS – Esquema Nacional de Seguridad categoría ALTA (RD 311/2022)
Referencia bibliográfica
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. BOE núm. 106, 4 de mayo de 2022. https://www.boe.es/eli/es/rd/2022/05/03/311
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-ENS-AUDIT | Certificación ENS ALTA bienal por entidad certificadora habilitada | El sistema en categoría ALTA debe auditarse al menos cada 2 años por una entidad certificadora habilitada. La certificación ENS ALTA es prerequisito de la cuali… | NC | Alta | Sí | — | 0 |
| REQ-ENS-mp.com | mp.com.* Comunicaciones cifradas y redes segmentadas | Las comunicaciones del servicio deben estar cifradas e íntegras. Las redes deben estar segmentadas. Categoría ALTA exige cifrado integral y segmentación riguros… | NC | Alta | Sí | — | 0 |
| REQ-ENS-mp.info | mp.info.* Controles sobre la información del servicio cualificado | Controles específicos sobre la información: calificación, cifrado, firma electrónica y sello de tiempo sobre activos de información del servicio. | NC | Alta | Sí | — | 0 |
| REQ-ENS-mp.s | mp.s.* Protección DDoS, WAF y alta disponibilidad del servicio | Protección frente a denegación de servicio (DDoS), WAF para aplicaciones web y alta disponibilidad del servicio cualificado. | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.acc | op.acc.1-7 Control de acceso con MFA (obligatorio en ALTA) | Controles de acceso completos: identificación, autenticación MFA, autorización, segregación de funciones y revisión periódica de privilegios. MFA es obligatorio… | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.cont | op.cont.1-4 BCP/DRP con pruebas anuales reales (no solo de mesa) | Plan de continuidad (BCP) y plan de recuperación ante desastres (DRP) del servicio con pruebas anuales reales (no solo ejercicios de mesa). | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.exp.10 | op.exp.10 Protección de registros frente a alteración | Los logs y registros del servicio deben estar protegidos frente a alteración no autorizada mediante WORM, firma criptográfica o equivalente. | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.exp.11 | op.exp.11 Gestión segura del ciclo de vida de claves criptográficas | Las claves criptográficas del servicio cualificado deben gestionarse de forma segura a lo largo de todo su ciclo de vida: generación, custodia, uso, renovación … | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.exp.7 | op.exp.7 Gestión de incidentes adaptada a plazos eIDAS (24h) | El procedimiento de gestión de incidentes debe estar adaptado para cumplir los plazos de notificación al supervisor eIDAS (24 horas), que son más exigentes que … | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.exp.8 | op.exp.8 Logs de actividad en SIEM con retención e integridad | Registro de eventos relevantes del servicio en SIEM, con retención adecuada y protección de la integridad (no modificables, no borrables). | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.ext | op.ext.* Gestión de proveedores externos críticos | Gestión formal de los proveedores externos críticos del servicio con cláusulas contractuales de seguridad, verificación periódica y plan de contingencia. | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.mon | op.mon.1-3 Monitorización 24/7 con SIEM/IDS/IPS | Monitorización continua 24/7 del servicio con SIEM, IDS/IPS y dashboards de seguridad. Categoría ALTA exige cobertura explícita del servicio cualificado. | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.pl.1 | op.pl.1 Análisis de riesgos con metodología reconocida | Realización y mantenimiento de análisis de riesgos formal del servicio cualificado con metodología reconocida (MAGERIT, ISO 27005). | NC | Alta | Sí | — | 0 |
| REQ-ENS-op.pl.2 | op.pl.2 Arquitectura de seguridad documentada | Documentación de la arquitectura de seguridad del servicio cualificado: capas de seguridad, controles técnicos, flujos y dependencias. | NC | Media | Sí | — | 0 |
| REQ-ENS-op.pl.5 | op.pl.5 Uso preferente de componentes certificados | Uso preferente de componentes con certificación reconocida (ENS, CC, FIPS) en el perímetro del servicio cualificado. | NC | Alta | Sí | — | 0 |
| REQ-ENS-org.1 | org.1 Política de seguridad aprobada y comunicada | Existencia de una política de seguridad aprobada por la alta dirección, comunicada a todo el personal y revisada periódicamente. | NC | Baja | Sí | — | 0 |
| REQ-ENS-org.2 | org.2 Normativa de seguridad: cuerpo normativo vinculante | Conjunto de normas internas de seguridad que desarrollan la política, vinculantes para todo el personal del alcance. | NC | Baja | Sí | — | 0 |
RGPD-LOPDGDD
RGPD + LOPDGDD – Protección de datos
Referencia bibliográfica
Reglamento (UE) 2016/679 (RGPD) + Ley Orgánica 3/2018 (LOPDGDD). https://eur-lex.europa.eu/eli/reg/2016/679/oj y https://www.boe.es/eli/es/lo/2018/12/05/3
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-GDPR-12-22 | Arts. 12-22 RGPD – Derechos de los interesados | El QERDS debe garantizar el ejercicio de todos los derechos de los interesados: acceso, rectificación, supresión, limitación, portabilidad y oposición. | NC | Media | Sí | — | 0 |
| REQ-GDPR-13-14 | Arts. 13/14 RGPD – Información al interesado (política de privacidad) | El QERDS debe informar a los interesados de forma clara, concisa y accesible sobre el tratamiento de sus datos personales, en el momento de la recogida. | NC | Media | Sí | — | 0 |
| REQ-GDPR-25 | Art. 25 RGPD – Privacidad desde el diseño y por defecto | El QERDS debe diseñarse con privacidad desde el diseño (privacy by design) y configurarse con la mayor privacidad por defecto (privacy by default). | NC | Media | Sí | — | 0 |
| REQ-GDPR-28 | Art. 28 RGPD – Contratos de encargo con todos los subprocesadores | Cuando el QERDS utilice encargados del tratamiento (TSA externa, IDP, hosting, CA), debe formalizarse un contrato de encargo conforme al art. 28 RGPD. | NC | Alta | Sí | — | 0 |
| REQ-GDPR-30 | Art. 30 RGPD – Registro de actividades de tratamiento (RAT) | El QERDS debe estar incluido en el Registro de Actividades de Tratamiento (RAT) del responsable con toda la información requerida. | NC | Media | Sí | — | 0 |
| REQ-GDPR-33 | Art. 33 RGPD – Notificación de violaciones a la AEPD en ≤72 horas | Las violaciones de seguridad que afecten a datos personales del QERDS deben notificarse a la AEPD en máximo 72 horas desde su conocimiento. | NC | Media | Sí | — | 0 |
| REQ-GDPR-35 | Art. 35 RGPD – Evaluación de impacto en protección de datos (EIPD/DPIA) | El QERDS probablemente requiere una EIPD previa al inicio del tratamiento, dado el volumen, el tipo de datos y el impacto potencial. | NC | Media | Sí | — | 0 |
| REQ-GDPR-37 | Art. 37 RGPD – Delegado de Protección de Datos (DPD) designado | El TSP debe disponer de un DPD designado formalmente, con implicación directa en el servicio QERDS. | NC | Baja | Sí | — | 0 |
| REQ-GDPR-5 | Art. 5 RGPD – Siete principios del tratamiento | Los datos personales tratados por el QERDS deben respetar los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización, exactitu… | NC | Media | Sí | — | 0 |
| REQ-GDPR-6 | Art. 6 RGPD – Base jurídica para cada tratamiento | Todo tratamiento de datos personales en el QERDS debe disponer de una base jurídica válida documentada. | NC | Media | Sí | — | 0 |
| REQ-LOPDGDD-31 | LOPDGDD Art. 31 – Bloqueo de datos al finalizar la relación | Tras la finalización del tratamiento activo, los datos deben bloquearse durante el plazo de prescripción de las posibles responsabilidades. | NC | Media | Sí | — | 0 |
| REQ-LOPDGDD-77 | LOPDGDD Art. 77 – Régimen sancionador especial para AAPP | Si el prestador es una sociedad estatal, está sujeta al régimen sancionador especial de las AAPP: apercibimiento y medidas correctoras, no multa económica direc… | NC | Baja | Sí | — | 0 |
ISO-IEC-27001
ISO/IEC 27001:2022 – SGSI
Referencia bibliográfica
ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements. https://www.iso.org/standard/27001
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-ISO27K-10 | §10 Mejora continua y gestión de no conformidades | El SGSI debe gestionar las no conformidades con acciones correctivas y demostrar mejora continua. | NC | Media | Sí | — | 0 |
| REQ-ISO27K-4 | §4 Contexto de la organización y alcance del SGSI | Debe determinarse el contexto interno y externo, las partes interesadas y el alcance del SGSI de forma que cubra explícitamente el servicio cualificado QERDS/TS… | NC | Media | Sí | — | 0 |
| REQ-ISO27K-5 | §5 Liderazgo y compromiso de la alta dirección | La alta dirección debe demostrar liderazgo y compromiso con el SGSI mediante política aprobada, roles y responsabilidades asignados. | NC | Baja | Sí | — | 0 |
| REQ-ISO27K-6 | §6 Planificación: análisis de riesgos y objetivos del SGSI | El SGSI debe incluir un proceso formal de análisis y tratamiento de riesgos con objetivos medibles e indicadores (KPIs). | NC | Media | Sí | — | 0 |
| REQ-ISO27K-8 | §8 Operación: ejecución del plan y gestión de cambios | El SGSI debe operar los procesos planificados y gestionar los cambios de forma que el nivel de seguridad no se degrade. | NC | Media | Sí | — | 0 |
| REQ-ISO27K-9 | §9 Evaluación: auditoría interna y revisión por la dirección | El SGSI debe evaluarse mediante auditorías internas anuales y revisión por la dirección con indicadores de desempeño. | NC | Media | Sí | — | 0 |
| REQ-ISO27K-A5 | Anexo A §5 – Controles organizativos implementados | Los controles organizativos del Anexo A de ISO 27001:2022 (antes §5-7) deben implementarse y documentarse en la SoA. | NC | Alta | Sí | — | 0 |
| REQ-ISO27K-A8 | Anexo A §8 – Controles tecnológicos implementados | Los controles tecnológicos del Anexo A §8 de ISO 27001:2022 deben implementarse en el perímetro del servicio QERDS/TSA. | NC | Alta | Sí | — | 0 |
| REQ-ISO27K-CERT | Certificación ISO 27001 vigente con alcance del QERDS/TSA | Las buenas prácticas valoran la certificación ISO 27001:2022 vigente con alcance que cubra el servicio cualificado . | NC | Baja | Sí | — | 0 |
HSM-CERT
Certificaciones HSM (FIPS 140-2/3 + Common Criteria + 2016/650)
Referencia bibliográfica
FIPS 140-2/3 + ISO/IEC 15408 (Common Criteria) + Reglamento (UE) 2016/650. https://csrc.nist.gov/publications + https://www.commoncriteriaportal.org
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-HSM-2016-650 | Listado QSCD conforme Reglamento (UE) 2016/650 | Si el HSM se usa para crear firmas o sellos electrónicos cualificados del prestador (sello del prestador QERDS), debe estar en el listado de QSCDs conforme al R… | NC | Alta | Cond. | — | 0 |
| REQ-HSM-CC | Common Criteria EAL4+ con Protection Profile aplicable | Como alternativa o complemento al FIPS, el HSM debe tener certificación Common Criteria EAL4+ con un Protection Profile aplicable al uso del servicio. | NC | Alta | Sí | — | 0 |
| REQ-HSM-CONFIG | Operación del HSM en modo certificado (FIPS-mode activado) | El HSM debe operar en el modo conforme a la certificación (p. ej. FIPS-mode habilitado), verificable en cada arranque y monitorizado continuamente. | NC | Alta | Sí | — | 0 |
| REQ-HSM-FIPS | FIPS 140-2 Nivel 3 / FIPS 140-3 como certificación mínima del HSM | Los HSM utilizados para la custodia de claves del servicio cualificado deben tener certificación FIPS 140-2 Nivel 3 como mínimo, o FIPS 140-3. | NC | Alta | Sí | — | 0 |
| REQ-HSM-FIRMWARE | Gestión del firmware del HSM dentro del alcance certificado | Las actualizaciones de firmware del HSM deben aplicarse solo si la nueva versión está dentro del rango cubierto por la certificación vigente. | NC | Alta | Sí | — | 0 |
| REQ-HSM-LIFECYCLE | Mantenimiento de las certificaciones del HSM durante el servicio | Las certificaciones del HSM (FIPS, CC) deben mantenerse vigentes durante toda la prestación del servicio. La caducidad o retirada de la certificación obliga a s… | NC | Alta | Sí | — | 0 |