¿Qué exige este criterio?
Los controles antifraude del QERDS deben cubrir: (1) detección de patrones anómalos (volumen inusual de envíos, intentos repetidos de acceso fallidos, cambios de credenciales sospechosos); (2) bloqueo automático ante umbrales de riesgo; (3) proceso de investigación de alertas; (4) comunicación a usuarios afectados en caso de suplantación confirmada; (5) registro de incidentes de fraude. El sistema debe revisarse periódicamente para actualizar umbrales.

¿Qué hay que revisar al cliente?

• Controles antifraude implementados en el sistema (lista de controles).
• Umbrales de alerta configurados y documentados.
• Proceso de respuesta ante alertas de fraude.
• Registro de incidentes de fraude o intento de suplantación.
• Revisión periódica de los umbrales y la efectividad de los controles.
• Integración con el sistema de gestión de incidentes del TSP.

Preguntas clave para las entrevistas

• ¿Qué controles antifraude específicos tiene el servicio QERDS más allá de los del portal general?
• ¿Se monitoriza el volumen de envíos por usuario para detectar usos anómalos?
• ¿Ha habido algún caso de suplantación de identidad en el servicio? ¿Cómo se gestionó?
• ¿Con qué frecuencia se revisan los umbrales de detección de fraude?

¿Por qué es esencial para QERDS y TSA?
El QERDS es un servicio de alto valor jurídico y por eso un objetivo atractivo para fraudes de identidad. Una suplantación exitosa puede generar evidencias falsas con consecuencias legales graves para terceros. Los controles antifraude son un control de integridad del propio servicio.

Evidencia que demostraría conformidad

• Documentación de controles antifraude implementados.
• Configuración de umbrales de alerta.
• Registro de incidentes de fraude del último año.
• Informe de revisión periódica de efectividad de controles.