¿Qué exige este criterio?
Segmentación de red rigurosa entre el perímetro del servicio cualificado y el resto de la red corporativa, con firewalls entre segmentos y reglas de filtrado documentadas y revisadas. Los componentes críticos (HSM, motor QERDS, repositorio de evidencias) en VLANs dedicadas con flujos justificados.

¿Qué hay que revisar al cliente?

• Diagrama de red detallado del perímetro del servicio.
• VLANs y zonas de seguridad definidas.
• Reglas de firewall entre segmentos, con justificación.
• Revisión periódica de las reglas (eliminación de reglas obsoletas).
• Pruebas de penetración recientes.

Preguntas clave para las entrevistas

• ¿En qué VLAN están los HSM?
• ¿Quién puede iniciar conexiones hacia los HSM y desde dónde?
• ¿Cuándo se revisaron por última vez las reglas de firewall?
• ¿Hay alguna regla "any-any" en el firewall del servicio?

¿Por qué es esencial para QERDS y TSA?
Sin segmentación, una intrusión en cualquier punto del corporativo puede alcanzar el HSM. La segmentación contiene el daño y limita la capacidad del atacante de moverse lateralmente. Es uno de los controles más auditados.

Evidencia que demostraría conformidad

• Diagrama de red.
• Configuración de firewall (extracto).
• Procedimiento de revisión de reglas.
• Informes de pentest.