REQ-401-6.8-C
Texto del requisito
El TSP debe disponer de mecanismos de detección y respuesta ante intrusiones (IDS/IPS, SIEM, SOC).
¿Qué exige este criterio?
Capacidad operativa real de detección y respuesta: IDS/IPS desplegado, SIEM con reglas afinadas para el servicio cualificado, SOC con cobertura 24/7 (interno o externo) con SLA de detección y respuesta. Métricas MTTD (mean time to detect) y MTTR documentadas.
¿Qué hay que revisar al cliente?
- IDS/IPS desplegado y reglas activas.
- SIEM con reglas específicas para el servicio cualificado.
- Cobertura del SOC (24/7) y SLA acordado.
- Métricas MTTD y MTTR.
- Histórico de detecciones y respuestas.
- Pruebas de red team o purple team recientes.
Preguntas clave para las entrevistas
- ¿El SOC tiene reglas específicas para detectar amenazas al servicio cualificado?
- ¿Cuál es el MTTD actual?
- ¿Cuándo se hizo el último ejercicio red team?
- ¿Se han detectado incidentes reales en los últimos 12 meses?
¿Por qué es esencial para QERDS y TSA?
Detectar tarde un incidente multiplica su impacto. Para servicios cualificados, la notificación al supervisor en 24h exige detección rápida. Sin SOC operativo es imposible cumplir.
Evidencia que demostraría conformidad
- Configuración IDS/IPS y SIEM.
- Acuerdo de niveles del SOC.
- Métricas MTTD/MTTR.
- Informes de incidentes detectados.
Evidencia esperada
Configuración IDS/IPS + integración SIEM + procedimientos del SOC.
Evidencias vinculadas 0
Aún no hay evidencias vinculadas.
Subir nueva evidencia
Aplicabilidad
AplicaInformación del requisito
- Última actualización
- 2026-05-03 18:31
- Marco
- ETSI EN 319 401 – General Policy Requirements for TSP
- Versión
- v2.3.1 (2021-05)
- Referencia bibliográfica
- ETSI EN 319 401 V2.3.1 (2021-05). Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319400_319499/319401/