¿Qué exige este criterio?
Autenticación obligatoria en todos los accesos al servicio, con MFA (segundo factor) obligatorio sin excepciones para accesos privilegiados (administradores, custodios, auditores con acceso a datos). Métodos MFA aceptables: token hardware, app autenticadora con secreto en HSM/dispositivo, FIDO2. SMS no es aceptable como segundo factor para accesos críticos.

¿Qué hay que revisar al cliente?

• Configuración del sistema IAM corporativo.
• Listado completo de cuentas con privilegios elevados sobre el servicio.
• Verificación de que TODAS esas cuentas tienen MFA activo.
• Métodos MFA aceptados (descartar SMS para roles críticos).
• Auditoría reciente de cuentas y excepciones a MFA.

Preguntas clave para las entrevistas

• ¿Hay alguna cuenta privilegiada exenta de MFA? ¿Por qué?
• ¿Qué métodos de segundo factor aceptáis para administradores?
• ¿Se usa el mismo factor MFA para corporativo y para el servicio cualificado?
• ¿Qué procedimiento hay si alguien pierde su segundo factor?

¿Por qué es esencial para QERDS y TSA?
El MFA en accesos privilegiados es el control más eficaz contra compromiso de credenciales, que es el vector principal de incidentes. Para servicios cualificados es exigible al máximo nivel: ENS ALTA y ETSI EN 319 401 lo refuerzan. Una excepción no justificada es hallazgo grave.

Evidencia que demostraría conformidad

• Configuración del IAM con MFA activado para roles privilegiados.
• Listado auditado de cuentas privilegiadas.
• Procedimiento de gestión de segundos factores.