¿Qué exige este criterio?
El sistema de almacenamiento del servicio QERDS debe: (1) garantizar disponibilidad acorde al SLA del servicio; (2) ser redundante (RAID, replicación, backup); (3) garantizar integridad mediante hash o firma de los datos almacenados; (4) soportar la recuperación de datos ante fallos; (5) tener un RTO y RPO documentados y probados.

¿Qué hay que revisar al cliente?

• Arquitectura de almacenamiento: redundancia, replicación, backup.
• RTO y RPO definidos para el servicio QERDS.
• Procedimiento de verificación de integridad del almacenamiento.
• Pruebas periódicas de restauración de backup.
• Documentación de la arquitectura disponible para el CAB.

Preguntas clave para las entrevistas

• ¿Cuál es la arquitectura de almacenamiento del servicio QERDS? ¿Hay replicación?
• ¿Cuál es el RTO y el RPO definidos para el almacenamiento de evidencias?
• ¿Con qué frecuencia se prueba la restauración del backup?
• ¿Hay verificación periódica de la integridad de los datos almacenados?

¿Por qué es esencial para QERDS y TSA?
La pérdida de evidencias QERDS es un incidente catastrófico: los usuarios pierden la prueba de sus notificaciones. La arquitectura de almacenamiento debe ser tan robusta como la de un banco para los datos más críticos.

Evidencia que demostraría conformidad

• Arquitectura de almacenamiento documentada.
• RTO/RPO definidos.
• Resultado de la última prueba de restauración de backup.
• Verificación periódica de integridad de datos.