¿Qué exige este criterio?
Para categoría ALTA, el ENS exige controles de acceso reforzados: (1) identificación única de cada usuario (no cuentas compartidas); (2) autenticación multifactor (MFA) obligatoria para acceso a sistemas críticos del servicio; (3) segregación de funciones documentada; (4) autorización basada en el menor privilegio; (5) revisión periódica de derechos (al menos anual); (6) gestión del ciclo de vida de identidades (alta, modificación, baja); (7) doble control para operaciones críticas.

¿Qué hay que revisar al cliente?

• Sistema IAM con identificación única por usuario.
• MFA configurado para acceso a sistemas críticos del QERDS.
• Segregación de funciones documentada.
• Política de menor privilegio aplicada.
• Revisión periódica de privilegios (al menos anual).
• Proceso de baja de accesos cuando un usuario abandona el proyecto.

Preguntas clave para las entrevistas

• ¿MFA está configurado para el acceso a los sistemas del QERDS?
• ¿Se revisan periódicamente los privilegios de acceso?
• ¿Hay segregación de funciones documentada para el servicio QERDS?
• ¿El proceso de baja de accesos es rápido cuando alguien deja el equipo?

¿Por qué es esencial para QERDS y TSA?
El MFA es obligatorio en ENS ALTA y un control crítico para el servicio cualificado: un acceso no autorizado con credenciales comprometidas podría permitir emitir sellos fraudulentos o acceder a las claves del HSM. El auditor ENS verificará el MFA en los sistemas críticos.

Evidencia que demostraría conformidad

• Configuración MFA en los sistemas críticos.
• Sistema IAM con identificación única.
• Segregación de funciones documentada.
• Resultado de la última revisión de privilegios.