¿Qué exige este criterio?
Los endpoints del servicio QERDS y TSA (portal de usuario, API, endpoint TSA) deben configurarse con: (1) TLS 1.2 o 1.3 únicamente; (2) suites de cifrado con ciphers modernos (AESGCM, ChaCha20); (3) perfect forward secrecy (ECDHE); (4) desactivación de suites NULL, EXPORT, anónimas, RC4, 3DES. El objetivo es grado A o A+ en Qualys SSL Labs.

¿Qué hay que revisar al cliente?

• Versiones TLS habilitadas en todos los endpoints (portal, API, TSA).
• Suites de cifrado habilitadas: ¿usan AESGCM y ECDHE?
• Desactivación de SSLv3, TLS 1.0 y TLS 1.1.
• Resultado de Qualys SSL Labs (o equivalente) para cada endpoint.
• Certificados TLS con SHA-256 y claves RSA-2048+ o ECDSA P-256+.

Preguntas clave para las entrevistas

• ¿Se ha ejecutado Qualys SSL Labs contra los endpoints del servicio QERDS?
• ¿El resultado es A o A+?
• ¿TLS 1.0 y 1.1 están desactivados?
• ¿Hay algún endpoint interno (API a API) con TLS no verificado o desactivado?

¿Por qué es esencial para QERDS y TSA?
Una configuración TLS deficiente es el hallazgo más visible en auditoría: cualquier herramienta de escaneo lo detecta en segundos. BEAST (TLS 1.0), POODLE (SSL 3.0) y DROWN son vulnerabilidades conocidas que justifican la desactivación inmediata de las versiones antiguas.

Evidencia que demostraría conformidad

• Resultado de Qualys SSL Labs para cada endpoint (grado A/A+).
• Configuración TLS de los servidores (archivo de configuración anonimizado).
• Verificación de desactivación de versiones antiguas.