¿Qué exige este criterio?
Política de backup específica del servicio: qué se respalda, con qué frecuencia, dónde se almacena (idealmente off-site o en cloud aislado), cuánto se conserva, y CON QUÉ FRECUENCIA SE PRUEBA LA RESTAURACIÓN. Un backup que nunca se ha probado restaurar es una fe ciega.

¿Qué hay que revisar al cliente?

• Política de backup del servicio.
• Frecuencia y localización de las copias.
• Cifrado de las copias (obligatorio).
• Procedimiento de prueba de restauración (semestral o anual).
• Resultados de las últimas pruebas: ¿exitosas? ¿con incidencias?

Preguntas clave para las entrevistas

• ¿Cuándo se hizo la última prueba de restauración real?
• ¿Cuánto tiempo tardó y cubrió todos los componentes críticos?
• ¿Se descubrieron problemas en alguna prueba reciente?
• ¿Las copias están cifradas?

¿Por qué es esencial para QERDS y TSA?
Pérdida de datos custodiados es uno de los peores incidentes para un TSP. Un backup que falla en el momento crítico equivale a no tener backup. El auditor exige evidencia de pruebas reales recientes, no solo configuración.

Evidencia que demostraría conformidad

• Política de backup.
• Configuración de las copias.
• Cronograma de pruebas.
• Actas de las pruebas con resultados y tiempos.