REQ-401-SUB-B
Texto del requisito
Si el TSP utiliza servicios cloud, debe asegurar la conformidad del proveedor con los requisitos aplicables (ENS, ISO 27001, ubicación de datos).
¿Qué exige este criterio?
Para cualquier componente cloud del servicio: certificaciones del proveedor (ENS, ISO 27001/27017/27018, SOC2), ubicación de datos exclusivamente en la UE, cláusulas RGPD (transferencias, encargo del tratamiento), derechos de auditoría y asistencia en auditoría CAR del TSP.
¿Qué hay que revisar al cliente?
- Inventario de componentes cloud del servicio.
- Certificaciones de cada proveedor (ENS, ISO).
- Ubicación de datos (UE).
- Cláusulas RGPD y eIDAS en el contrato.
- Asistencia en auditoría del CAB.
Preguntas clave para las entrevistas
- ¿Hay algún componente del servicio en cloud público?
- ¿Dónde están físicamente los datos?
- ¿El proveedor tiene certificación ENS?
- ¿Cómo respondería en una auditoría del CAB del servicio?
¿Por qué es esencial para QERDS y TSA?
Los datos del servicio cualificado tienen restricciones de ubicación y seguridad. Un cloud no certificado o con datos fuera de la UE invalida la cualificación. Es uno de los puntos más críticos en arquitecturas modernas.
Evidencia que demostraría conformidad
- Inventario cloud.
- Certificaciones del proveedor.
- Cláusulas contractuales.
- Documentación de ubicación de datos.
Evidencia esperada
Certificaciones del proveedor cloud + cláusulas + ubicación de datos UE.
Evidencias vinculadas 0
Aún no hay evidencias vinculadas.
Subir nueva evidencia
Aplicabilidad
AplicaInformación del requisito
- Última actualización
- 2026-05-03 18:31
- Marco
- ETSI EN 319 401 – General Policy Requirements for TSP
- Versión
- v2.3.1 (2021-05)
- Referencia bibliográfica
- ETSI EN 319 401 V2.3.1 (2021-05). Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319400_319499/319401/