ETSI-EN-319-521

REQ-521-6.1-A

§6 Risk assessment – ERDS
NC Alta
Texto del requisito

El ERDS Provider debe identificar y evaluar los riesgos específicos del servicio de entrega electrónica certificada, incluyendo riesgos de no-entrega, suplantación de identidad del emisor o destinatario, alteración de evidencias y repudio.

¿Qué pide este criterio y por qué?

¿Qué exige este criterio?
EN 319 521 §6 impone que el análisis de riesgos general del TSP (EN 319 401 §6) se amplíe con los riesgos propios del servicio de entrega: (1) no-entrega por causa técnica u organizativa; (2) suplantación del emisor; (3) suplantación del destinatario; (4) alteración del contenido en tránsito; (5) repudio posterior de la entrega; (6) fallo del sistema de preservación de evidencias. El análisis debe estar aprobado, fechado y revisado al menos anualmente o tras un incidente.

¿Qué hay que revisar al cliente?

  • Documento de Análisis de Riesgos del servicio QERDS (fecha, versión, aprobador).
  • Catálogo de amenazas y activos específicos del servicio de entrega.
  • Tratamiento asignado a cada riesgo (aceptar, mitigar, transferir, evitar).
  • Integración con el plan de tratamiento general del TSP.
  • Calendario de revisión anual y actas de las revisiones realizadas.
  • Revisiones extraordinarias tras incidentes de seguridad relevantes.
  • Vinculación del análisis a los controles implementados y a las evidencias generadas.

Preguntas clave para las entrevistas

  • ¿Cuándo se realizó el último análisis de riesgos del servicio QERDS y quién lo aprobó?
  • ¿Hay escenarios de suplantación de identidad modelados explícitamente en el análisis?
  • ¿El análisis de riesgos del QERDS está separado del del TSP general o es el mismo documento?
  • ¿Qué ocurre si el sistema de sellado de tiempo falla durante el servicio? ¿Está ese escenario en el análisis?

¿Por qué es esencial para QERDS y TSA?
El análisis de riesgos es la base de todo el sistema de gestión de seguridad del QERDS. Si los riesgos específicos de la entrega no están identificados, los controles serán inadecuados o inexistentes. El CAB examinará este documento como primer punto de la auditoría y usará sus lagunas para cuestionar todos los controles relacionados.

Evidencia que demostraría conformidad

  • Documento de Análisis de Riesgos del servicio QERDS (versión vigente).
  • Acta de aprobación por la Dirección.
  • Registro de revisiones anuales o por incidente.
  • Plan de tratamiento de riesgos con responsables y fechas.
Evidencia esperada

Análisis de riesgos específico del servicio de entrega + plan de tratamiento.

Volver
Evidencias vinculadas 0

Aún no hay evidencias vinculadas.

Subir nueva evidencia
Por defecto, la evidencia se analiza con Claude (Anthropic) para emitir un dictamen consultivo de cobertura del control. El dictamen es orientativo: el CAB sigue siendo la autoridad sobre la conformidad real.
Aplicabilidad
Aplica
Información del requisito
Última actualización
2026-05-03 18:31
Marco
ETSI EN 319 521 – ERDS / QERDS
Versión
v1.1.1 (2019-02)
Referencia bibliográfica
ETSI EN 319 521 V1.1.1 (2019-02). Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Electronic Registered Delivery Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319500_319599/319521/