¿Qué exige este criterio?
ENS ALTA exige controles sobre la información en función de su clasificación: (1) clasificación de los activos de información del QERDS (p. ej. claves: confidencial; evidencias: uso interno; documentación: uso interno); (2) cifrado de información clasificada como confidencial o superior; (3) firma electrónica para documentos críticos; (4) sello de tiempo para eventos de relevancia jurídica; (5) limpieza de metadatos en documentos compartidos externamente.

¿Qué hay que revisar al cliente?

• Clasificación de información del QERDS.
• Controles de cifrado para información confidencial.
• Uso de firma electrónica en documentos críticos.
• Sello de tiempo en hitos del servicio.
• Limpieza de metadatos en documentos externos.

Preguntas clave para las entrevistas

• ¿Los activos de información del QERDS están clasificados?
• ¿Las claves criptográficas y las evidencias tienen el nivel de protección adecuado a su clasificación?
• ¿Se limpian los metadatos de documentos antes de compartirlos externamente?

¿Por qué es esencial para QERDS y TSA?
La clasificación de la información es la base para aplicar los controles correctos: lo que es confidencial necesita cifrado; lo que tiene relevancia jurídica necesita sello de tiempo. Para el QERDS, estos controles coinciden con los requisitos de EN 319 401 y EN 319 521.

Evidencia que demostraría conformidad

• Clasificación de activos de información.
• Controles por nivel de clasificación.
• Proceso de limpieza de metadatos.