¿Qué exige este criterio?
Los componentes críticos del servicio deben tener certificaciones reconocidas: (1) HSM: FIPS 140-2/3 Level 3+ o CC EAL4+; (2) sistema operativo de los servidores críticos: hardened y actualizado; (3) software de firma/sello: según lista aprobada por el CAB; (4) arquitectura de red: segmentada, con controles de acceso. La documentación técnica de la arquitectura debe estar disponible para el CAB.

¿Qué hay que revisar al cliente?

• Inventario de componentes críticos con sus certificaciones.
• Certificaciones vigentes del HSM (FIPS/CC).
• Política de actualizaciones de seguridad del software.
• Arquitectura de red y segmentación.
• Auditorías técnicas recientes de la infraestructura.

Preguntas clave para las entrevistas

• ¿Cuáles son los componentes críticos del servicio QERDS y qué certificaciones tienen?
• ¿Hay un inventario actualizado de componentes con sus certificaciones y fechas de vencimiento?
• ¿La política de parches garantiza que los sistemas críticos se mantienen actualizados?
• ¿Se han realizado auditorías técnicas de la infraestructura recientes?

¿Por qué es esencial para QERDS y TSA?
El art. 24.1.e es la base legal de la exigencia de HSM certificado y arquitectura segura. Su cumplimiento se demuestra principalmente a través de la conformidad con EN 319 401 y los requisitos HSM de EN 319 421. El CAB verificará el inventario de componentes y certificaciones.

Evidencia que demostraría conformidad

• Inventario de componentes críticos con certificaciones.
• Certificados de conformidad del HSM.
• Política de gestión de parches y actualizaciones.
• Arquitectura técnica del servicio (diagrama).