¿Qué exige este criterio?
Catálogo formal y exhaustivo de eventos a registrar (no genérico): inicio/parada de sistemas, accesos privilegiados, operaciones criptográficas (generación/uso/destrucción de claves), cambios de configuración, errores y excepciones, accesos físicos al CPD, alertas SIEM. Política de retención alineada con eIDAS y la Ley 6/2020 (≥5 años para servicios cualificados).

¿Qué hay que revisar al cliente?

• Catálogo de eventos por sistema.
• Cobertura: ¿todos los componentes críticos generan logs?
• Política de retención y aplicación efectiva.
• Almacenamiento: ¿centralizado en SIEM?
• Volumen real de logs y crecimiento previsto.

Preguntas clave para las entrevistas

• ¿Qué eventos exactos del HSM se registran?
• ¿Cuánto tiempo se retienen los logs del servicio?
• ¿Los logs se almacenan online (consulta inmediata) o en archivo frío?
• ¿Hay sistemas críticos cuyos logs no llegan al SIEM?

¿Por qué es esencial para QERDS y TSA?
Los logs son la prueba en una auditoría o investigación. Sin el catálogo completo, faltan evidencias críticas. Para QERDS y TSA cada operación debe quedar trazada.

Evidencia que demostraría conformidad

• Catálogo de eventos registrados por sistema.
• Política de retención.
• Configuración SIEM.
• Muestra de logs reales del servicio.