REQ-ENS-op.pl.5
Texto del requisito
Uso preferente de componentes con certificación reconocida (ENS, CC, FIPS) en el perímetro del servicio cualificado.
¿Qué exige este criterio?
Para categoría ALTA, los componentes críticos del servicio deben tener certificaciones de seguridad reconocidas donde estén disponibles: HSM (FIPS 140-2/3 L3, CC EAL4+), sistemas operativos (CC EAL4+, ENS), firmware y dispositivos de red (CC EAL2+). El inventario de componentes debe documentar las certificaciones y su vigencia.
¿Qué hay que revisar al cliente?
- Inventario de componentes críticos con sus certificaciones.
- HSM: certificaciones FIPS/CC vigentes.
- Sistemas operativos: versiones soportadas y certificadas.
- Actualizaciones: proceso de verificación de mantenimiento de certificaciones.
Preguntas clave para las entrevistas
- ¿Hay un inventario de componentes con sus certificaciones de seguridad?
- ¿Todos los componentes críticos tienen certificación aplicable?
- ¿El proceso de actualización verifica que se mantiene la certificación?
¿Por qué es esencial para QERDS y TSA?
El ENS exige el uso preferente de componentes certificados para categoría ALTA. El HSM certificado FIPS/CC es el componente más crítico. El inventario de componentes certificados demuestra al auditor que la decisión de compra incorporó criterios de seguridad.
Evidencia que demostraría conformidad
- Inventario de componentes con certificaciones.
- Certificaciones del HSM verificadas.
Evidencia esperada
Inventario de componentes certificados + HSM con FIPS/CC + proceso de verificación.
Evidencias vinculadas 0
Aún no hay evidencias vinculadas.
Subir nueva evidencia
Aplicabilidad
AplicaInformación del requisito
- Última actualización
- 2026-05-03 18:31
- Marco
- ENS – Esquema Nacional de Seguridad categoría ALTA (RD 311/2022)
- Versión
- Vigente
- Referencia bibliográfica
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. BOE núm. 106, 4 de mayo de 2022. https://www.boe.es/eli/es/rd/2022/05/03/311