¿Qué exige este criterio?
Mecanismos técnicos para garantizar inmutabilidad de los logs: almacenamiento WORM, encadenamiento mediante hash criptográfico, firma electrónica de bloques, o equivalentes. Verificación periódica automatizada que detecte cualquier alteración. Restricción del acceso de los administradores a los logs de su propia actividad.

¿Qué hay que revisar al cliente?

• Mecanismos de inmutabilidad implantados (WORM, hash chain, firma).
• Procedimiento de verificación periódica de integridad.
• Resultados de las últimas verificaciones.
• Restricción de acceso para administradores de los sistemas auditados.
• Documentación del modelo de protección.

Preguntas clave para las entrevistas

• ¿Cómo se garantiza que un administrador no puede alterar logs de su actividad?
• ¿Cómo se detectaría una alteración en los logs históricos?
• ¿Existe verificación automática diaria/semanal de integridad?
• ¿Hay copia inmutable en una ubicación diferente?

¿Por qué es esencial para QERDS y TSA?
Logs alterables no son evidencia legal. En auditoría CAR se verifica explícitamente la integridad. Sin mecanismos demostrables, los logs pierden su valor probatorio.

Evidencia que demostraría conformidad

• Documentación del mecanismo.
• Configuración técnica (WORM, hash chain).
• Procedimiento y resultados de verificación.