¿Qué exige este criterio?
Registro de TODOS los accesos al servicio cualificado, con énfasis en los privilegiados, enviado a SIEM centralizado, conservado durante el periodo legalmente exigible (≥5 años para servicios cualificados), y protegido contra alteración mediante mecanismos como WORM o firma de logs. Los logs deben permitir reconstruir quién hizo qué y cuándo.

¿Qué hay que revisar al cliente?

• Sistemas que generan logs de acceso del servicio.
• Configuración del SIEM y cobertura.
• Política de retención de logs y aplicación efectiva.
• Mecanismos de protección de integridad de logs (WORM, hash, firma).
• Procedimiento de revisión periódica de logs privilegiados.

Preguntas clave para las entrevistas

• ¿Hay algún sistema crítico cuyos logs no llegan al SIEM?
• ¿Cuánto tiempo se conservan los logs del servicio?
• ¿Se firma o se encadena hash de los logs para garantizar integridad?
• ¿Existe revisión periódica documentada de los accesos privilegiados?

¿Por qué es esencial para QERDS y TSA?
Los logs son la única forma de reconstruir lo ocurrido tras un incidente. El art. 24.1.h eIDAS exige conservación durante un periodo apropiado. La Ley 6/2020 fija mínimo 5 años. Logs incompletos o alterables invalidan su valor probatorio.

Evidencia que demostraría conformidad

• Configuración técnica del logging.
• Política de retención.
• Mecanismos de integridad documentados.
• Muestra de logs reales del servicio.