¿Qué exige este criterio?
Durante la auditoría, el CAB accede a información extremadamente sensible del TSP: configuración del HSM, procedimientos de doble control, análisis de riesgos, logs del sistema, arquitectura de red. Esta información puede ser usada para atacar el servicio si cae en manos equivocadas. El NDA con el CAB debe: (1) cubrir toda la información divulgada durante la auditoría; (2) incluir obligaciones específicas de no divulgación a terceros; (3) establecer la duración de la obligación; (4) incluir remedios ante incumplimiento.

¿Qué hay que revisar al cliente?

• NDA incluido en el contrato con el CAB.
• Alcance del NDA: ¿cubre toda la información divulgada durante la auditoría?
• Duración de la obligación de confidencialidad.
• Obligaciones de destrucción de información al final del trabajo.
• Remedios ante incumplimiento del NDA.

Preguntas clave para las entrevistas

• ¿El contrato con el CAB incluye un NDA específico para la información divulgada?
• ¿El NDA cubre la información técnica crítica (configuración HSM, procedimientos)?
• ¿Qué pasa con la información divulgada al final del trabajo? ¿Se destruye?

¿Por qué es esencial para QERDS y TSA?
Un CAB que divulga la configuración del HSM o los procedimientos de doble control podría facilitar un ataque al servicio. El NDA es la garantía contractual de que esa información permanece protegida. Es especialmente importante para auditorías que incluyen acceso al CPD y al HSM.

Evidencia que demostraría conformidad

• Cláusulas NDA del contrato con el CAB.
• Cobertura del NDA: lista de información protegida.
• Obligaciones de destrucción de información al final.