¿Qué exige este criterio?
Para ENS ALTA: (1) TLS 1.2/1.3 en todas las comunicaciones externas; (2) cifrado de comunicaciones internas (entre componentes del servicio); (3) segmentación de redes: zona pública (DMZ) separada de zona de administración y zona de HSM; (4) firewalls entre zonas con reglas explícitas; (5) registros de tráfico de red.

¿Qué hay que revisar al cliente?

• TLS configurado en todos los endpoints externos.
• Cifrado de comunicaciones internas entre componentes.
• Segmentación de redes: DMZ, zona admin, zona HSM.
• Firewalls con reglas explícitas entre zonas.
• Registros de tráfico de red.

Preguntas clave para las entrevistas

• ¿Las comunicaciones internas entre componentes del QERDS están cifradas?
• ¿La red del HSM está en una zona separada con acceso restringido?
• ¿Hay firewall entre la DMZ y la zona de administración?
• ¿Los registros de tráfico de red se retienen y están disponibles para investigación?

¿Por qué es esencial para QERDS y TSA?
La segmentación de redes es el control de seguridad de perímetro más básico. Sin ella, un atacante que compromete la DMZ puede llegar directamente al HSM. Para ENS ALTA, la segmentación debe ser rigurosa con zonas bien definidas y firewalls entre ellas con reglas de mínimo privilegio.

Evidencia que demostraría conformidad

• Diagrama de segmentación de redes.
• Configuración TLS de endpoints externos.
• Reglas de firewall entre zonas.
• Configuración de cifrado interno.