¿Qué exige este criterio?
Para ENS ALTA y para un servicio cualificado 24/7: (1) protección anti-DDoS en el perímetro del servicio (solución cloud o appliance); (2) WAF que filtre ataques a la aplicación web del QERDS (OWASP Top 10); (3) alta disponibilidad del servicio con redundancia activa-activa o activa-pasiva; (4) SLA de disponibilidad publicado y medido. Los servicios cualificados son objetivos atractivos para ataques DDoS por su criticidad.

¿Qué hay que revisar al cliente?

• Protección anti-DDoS: ¿qué solución y umbral de activación?
• WAF: ¿configurado y con reglas activas para OWASP Top 10?
• Alta disponibilidad: ¿activo-activo o activo-pasivo?
• SLA de disponibilidad publicado y métricas reales.

Preguntas clave para las entrevistas

• ¿Hay protección anti-DDoS para el servicio QERDS?
• ¿El WAF está configurado con reglas para OWASP Top 10?
• ¿La arquitectura es activo-activo o activo-pasivo para garantizar disponibilidad?
• ¿Se ha probado la resistencia a DDoS?

¿Por qué es esencial para QERDS y TSA?
Los servicios de notificación cualificada son objetivos de DDoS porque su indisponibilidad impide realizar notificaciones con efectos legales. Un ataque DDoS en un período crítico (p. ej. plazo de notificaciones tributarias) puede tener impacto legal significativo para los usuarios del servicio.

Evidencia que demostraría conformidad

• Protección anti-DDoS configurada.
• WAF con reglas activas.
• Arquitectura de alta disponibilidad.
• SLA de disponibilidad con métricas.