¿Qué exige este criterio?
Para ENS ALTA, los logs deben: (1) cubrir todos los eventos de seguridad relevantes (accesos, cambios de configuración, errores, operaciones críticas); (2) ingerir en un SIEM con correlación de eventos; (3) tener retención mínima de 5 años (coherente con Ley 6/2020) para logs del servicio cualificado; (4) ser inmutables (WORM o firma de logs); (5) protegerse frente a borrado no autorizado.

¿Qué hay que revisar al cliente?

• SIEM configurado y con cobertura del servicio QERDS.
• Tipos de eventos recogidos: ¿completos para el servicio?
• Retención configurada: ¿5 años o más?
• Inmutabilidad: WORM, firma de logs o equivalente.
• Alertas configuradas para eventos críticos.

Preguntas clave para las entrevistas

• ¿El SIEM tiene cobertura del servicio QERDS (servidores, HSM, aplicaciones)?
• ¿La retención de logs está configurada para 5 años mínimo?
• ¿Los logs son inmutables? ¿Cómo se garantiza?
• ¿Hay alertas para eventos críticos como acceso al HSM fuera de horario?

¿Por qué es esencial para QERDS y TSA?
Los logs del servicio QERDS son la evidencia operativa de que el servicio funcionó correctamente. Para ENS ALTA, la inmutabilidad y la retención adecuada son obligatorias. El SIEM correlaciona eventos que individualmente son inocuos pero que combinados indican un ataque.

Evidencia que demostraría conformidad

• SIEM con cobertura del QERDS.
• Configuración de retención (5 años).
• Mecanismo de inmutabilidad de logs.
• Alertas configuradas.