Catálogo de controles para cualificación QERDS y TSA
58 controles agrupados por marco normativo
58 controles coinciden con los filtros aplicados.
ETSI-EN-319-401
ETSI EN 319 401 – General Policy Requirements for TSP
Referencia bibliográfica
ETSI EN 319 401 V2.3.1 (2021-05). Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319400_319499/319401/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-401-5-RA1 | §5 Risk Assessment | El TSP debe realizar y documentar una evaluación de riesgos sobre los servicios que presta, considerando activos, amenazas, vulnerabilidades, probabilidad e imp… | NC | Alta | Sí | — | 0 |
| REQ-401-5-RA2 | §5 Risk Assessment | La evaluación de riesgos debe revisarse periódicamente y tras cualquier cambio significativo en los servicios, infraestructura, organización o entorno de amenaz… | NC | Media | Sí | — | 0 |
| REQ-401-5-RA3 | §5 Risk Assessment | El TSP debe definir y aplicar un tratamiento del riesgo proporcional al nivel evaluado (aceptar / mitigar / transferir / evitar) y aprobado por la dirección. | NC | Alta | Sí | — | 0 |
| REQ-401-6.1-A | §6.1 Internal organization – Entidad legal | El TSP debe ser una entidad legal con fiabilidad demostrable y los recursos necesarios para operar de acuerdo a su política. | NC | Baja | Sí | — | 0 |
| REQ-401-6.1-B | §6.1 Internal organization – Roles y responsabilidades | El TSP debe disponer de una estructura organizativa con definición clara de roles, responsabilidades y líneas de reporte. | NC | Alta | Sí | — | 0 |
| REQ-401-6.1-C | §6.1 Internal organization – Segregación de funciones | El TSP debe asegurar la segregación de funciones para evitar concentración de privilegios incompatibles, especialmente en operaciones criptográficas y auditoría… | NC | Alta | Sí | — | 0 |
| REQ-401-6.1-D | §6.1 Internal organization – Compromiso de la dirección | La dirección del TSP debe demostrar liderazgo y compromiso con el sistema de gestión de seguridad mediante la aprobación de políticas y la asignación de recurso… | NC | Media | Sí | — | 0 |
| REQ-401-6.10-A | §6.10 Collection of evidence – Logs | El TSP debe registrar y conservar evidencias de todos los eventos relevantes para la operación del servicio durante el periodo legalmente exigible. | NC | Alta | Sí | — | 0 |
| REQ-401-6.10-B | §6.10 Collection of evidence – Integridad | Las evidencias y logs del servicio deben protegerse contra alteración, mediante controles técnicos (firma, hashing, WORM) y organizativos. | NC | Alta | Sí | — | 0 |
| REQ-401-6.10-C | §6.10 Collection of evidence – Sincronización temporal | Los relojes de los sistemas que generan evidencias deben sincronizarse con una fuente de tiempo fiable (NTP autoritativa). | NC | Alta | Sí | — | 0 |
| REQ-401-6.11-A | §6.11 Business continuity – Plan | El TSP debe disponer de un plan de continuidad de negocio documentado para los servicios cualificados, con métricas RTO/RPO definidas. | NC | Alta | Sí | — | 0 |
| REQ-401-6.11-B | §6.11 Business continuity – Pruebas | El plan de continuidad debe probarse periódicamente y los resultados deben documentarse y dar lugar a acciones correctoras. | NC | Alta | Sí | — | 0 |
| REQ-401-6.11-C | §6.11 Business continuity – DR | El TSP debe disponer de un plan de recuperación de desastres con sitio alternativo y procedimientos técnicos de conmutación. | NC | Alta | Sí | — | 0 |
| REQ-401-6.12-A | §6.12 Termination plan – Documento | El TSP debe disponer de un Plan de Terminación del Servicio que prevea las actuaciones a realizar en caso de cese, garantizando la continuidad de las evidencias… | NC | Alta | Sí | — | 0 |
| REQ-401-6.12-B | §6.12 Termination plan – Custodia de evidencias | El plan de terminación debe identificar la entidad que se hará cargo de las evidencias en caso de cese y los medios para hacerlo. | NC | Alta | Sí | — | 0 |
| REQ-401-6.12-C | §6.12 Termination plan – Recursos financieros | El TSP debe asegurar la disponibilidad de recursos financieros para la ejecución del plan de terminación. | NC | Alta | Sí | — | 0 |
| REQ-401-6.13-A | §6.13 Compliance – Identificación de requisitos | El TSP debe identificar y mantener actualizados los requisitos legales, regulatorios y contractuales aplicables al servicio. | NC | Media | Sí | — | 0 |
| REQ-401-6.13-B | §6.13 Compliance – Auditoría externa | El TSP cualificado debe someterse a auditoría de conformidad por un Conformity Assessment Body (CAB) acreditado, al menos cada 24 meses. | NC | Alta | Sí | — | 0 |
| REQ-401-6.13-C | §6.13 Compliance – Auditoría interna | El TSP debe disponer de un programa de auditoría interna que verifique periódicamente el cumplimiento de su política y de la normativa. | NC | Media | Sí | — | 0 |
| REQ-401-6.13-D | §6.13 Compliance – Acciones correctoras | Las no conformidades detectadas en auditoría deben gestionarse mediante un proceso formal de acciones correctoras con seguimiento hasta el cierre. | NC | Media | Sí | — | 0 |
| REQ-401-6.2-A | §6.2 Human resources – Verificación | El TSP debe verificar antecedentes del personal con acceso a sistemas críticos antes de la contratación y periódicamente conforme a la legislación aplicable. | NC | Media | Sí | — | 0 |
| REQ-401-6.2-B | §6.2 Human resources – Cualificación | El personal del TSP debe poseer la cualificación, formación y experiencia necesarias para sus funciones, evidenciado mediante CV y certificaciones. | NC | Media | Sí | — | 0 |
| REQ-401-6.2-C | §6.2 Human resources – Formación | El TSP debe disponer de un plan de formación inicial y continua en seguridad de la información y servicios de confianza para todo el personal con acceso al serv… | NC | Media | Sí | — | 0 |
| REQ-401-6.2-D | §6.2 Human resources – Confidencialidad | Todo el personal con acceso al servicio debe firmar acuerdos de confidencialidad y no divulgación, alineados con las obligaciones del TSP. | NC | Baja | Sí | — | 0 |
| REQ-401-6.2-E | §6.2 Human resources – Sanciones | El TSP debe disponer de un proceso disciplinario para incumplimientos de seguridad, comunicado al personal. | NC | Baja | Sí | — | 0 |
| REQ-401-6.3-A | §6.3 Asset management – Inventario | El TSP debe mantener un inventario actualizado de los activos asociados al servicio, con identificación del propietario y la clasificación de seguridad. | NC | Media | Sí | — | 0 |
| REQ-401-6.3-B | §6.3 Asset management – Clasificación | Los activos de información deben clasificarse según su sensibilidad y aplicarles controles proporcionales. | NC | Media | Sí | — | 0 |
| REQ-401-6.3-C | §6.3 Asset management – Soportes | El TSP debe gestionar de forma controlada los soportes que contengan información del servicio (creación, distribución, almacenamiento, destrucción). | NC | Media | Sí | — | 0 |
| REQ-401-6.4-A | §6.4 Access control – Política | El TSP debe establecer una política de control de accesos basada en la necesidad de saber y el privilegio mínimo. | NC | Media | Sí | — | 0 |
| REQ-401-6.4-B | §6.4 Access control – Identificación y autenticación / MFA | Todo acceso a sistemas del servicio debe estar precedido por una autenticación, aplicando autenticación multifactor (MFA) para accesos privilegiados. | NC | Alta | Sí | — | 0 |
| REQ-401-6.4-C | §6.4 Access control – Gestión de privilegios | Los privilegios de acceso deben asignarse por roles, revisarse periódicamente y revocarse al cambio de funciones o cese. | NC | Media | Sí | — | 0 |
| REQ-401-6.4-D | §6.4 Access control – Registro de accesos | Todos los accesos al servicio (especialmente privilegiados) deben quedar registrados en logs íntegros, protegidos y conservados. | NC | Alta | Sí | — | 0 |
| REQ-401-6.5-A | §6.5 Cryptographic controls – Política | El TSP debe disponer de una política de uso de controles criptográficos que defina algoritmos, longitudes de clave y procedimientos de gestión. | NC | Alta | Sí | — | 0 |
| REQ-401-6.5-B | §6.5 Cryptographic controls – Ciclo de vida de claves | El TSP debe gestionar el ciclo de vida completo de las claves criptográficas: generación, distribución, almacenamiento, uso, archivado, recuperación y destrucci… | NC | Alta | Sí | — | 0 |
| REQ-401-6.5-C | §6.5 Cryptographic controls – HSM | Las claves privadas del TSP deben generarse y custodiarse en módulos HSM certificados conforme a estándares reconocidos (FIPS 140-2/3 nivel 3+ o CC EAL4+). | NC | Alta | Sí | — | 0 |
| REQ-401-6.5-D | §6.5 Cryptographic controls – Doble control | Las operaciones críticas sobre claves (generación, backup, restore, destrucción) deben realizarse bajo doble control con custodios identificados. | NC | Alta | Sí | — | 0 |
| REQ-401-6.6-A | §6.6 Physical security – Perímetro | El TSP debe proteger las instalaciones que albergan los sistemas críticos del servicio mediante perímetros físicos definidos y controles de acceso. | NC | Baja | Sí | — | 0 |
| REQ-401-6.6-B | §6.6 Physical security – Controles de acceso físico | El acceso físico a las áreas críticas debe estar controlado, registrado y limitado al personal autorizado. | NC | Baja | Sí | — | 0 |
| REQ-401-6.6-C | §6.6 Physical security – Protecciones ambientales | Las instalaciones deben disponer de protecciones contra fuego, agua, fluctuaciones eléctricas, temperatura y humedad. | NC | Baja | Sí | — | 0 |
| REQ-401-6.7-A | §6.7 Operations – Procedimientos documentados | Las operaciones del servicio deben realizarse conforme a procedimientos documentados, aprobados y mantenidos al día. | NC | Media | Sí | — | 0 |
| REQ-401-6.7-B | §6.7 Operations – Gestión del cambio | Los cambios sobre los sistemas del servicio deben gestionarse mediante un proceso formal con análisis de riesgos, aprobación y trazabilidad. | NC | Media | Sí | — | 0 |
| REQ-401-6.7-C | §6.7 Operations – Gestión de capacidad | El TSP debe planificar y monitorizar la capacidad de los sistemas para asegurar el cumplimiento de los SLA del servicio. | NC | Media | Sí | — | 0 |
| REQ-401-6.7-D | §6.7 Operations – Protección frente a malware | Los sistemas del servicio deben disponer de protección frente a software malicioso con actualización continua y mecanismos de detección. | NC | Media | Sí | — | 0 |
| REQ-401-6.7-E | §6.7 Operations – Backup y restauración | El TSP debe realizar copias de seguridad de la información crítica del servicio y verificar periódicamente su recuperación. | NC | Alta | Sí | — | 0 |
| REQ-401-6.7-F | §6.7 Operations – Gestión de vulnerabilidades | El TSP debe disponer de un proceso de gestión de vulnerabilidades técnicas con identificación, evaluación, parcheado y verificación. | NC | Alta | Sí | — | 0 |
| REQ-401-6.8-A | §6.8 Network security – Segmentación | Las redes del TSP deben segmentarse según niveles de confianza, con controles de filtrado entre segmentos. | NC | Alta | Sí | — | 0 |
| REQ-401-6.8-B | §6.8 Network security – Cifrado en tránsito | Las comunicaciones del servicio (interna y externa) deben protegerse mediante cifrado conforme a las suites criptográficas vigentes. | NC | Alta | Sí | — | 0 |
| REQ-401-6.8-C | §6.8 Network security – Detección de intrusiones | El TSP debe disponer de mecanismos de detección y respuesta ante intrusiones (IDS/IPS, SIEM, SOC). | NC | Alta | Sí | — | 0 |
| REQ-401-6.9-A | §6.9 Incident management – Procedimiento | El TSP debe disponer de un procedimiento formal de gestión de incidentes que cubra detección, clasificación, respuesta, escalado y cierre. | NC | Alta | Sí | — | 0 |
| REQ-401-6.9-B | §6.9 Incident management – Notificación al supervisor | Los incidentes con impacto significativo en el servicio o en los datos personales deben notificarse al organismo de supervisión en los plazos legalmente estable… | NC | Alta | Sí | — | 0 |
| REQ-401-6.9-C | §6.9 Incident management – Lecciones aprendidas | Tras cada incidente significativo el TSP debe realizar un análisis post-mortem y aplicar las lecciones aprendidas. | NC | Media | Sí | — | 0 |
| REQ-401-7-A | §7 TSPS – Existencia | El TSP debe disponer de una Declaración de Prácticas del Servicio (DPC/TSPS) que describa cómo cumple con los requisitos aplicables. | NC | Alta | Sí | — | 0 |
| REQ-401-7-B | §7 TSPS – Términos y condiciones | El TSP debe poner a disposición de los usuarios los términos y condiciones del servicio en lenguaje claro. | NC | Media | Sí | — | 0 |
| REQ-401-7-C | §7 TSPS – Información a partes confiantes | El TSP debe poner a disposición de las partes confiantes información suficiente para que puedan utilizar y validar el servicio adecuadamente. | NC | Media | Sí | — | 0 |
| REQ-401-7-D | §7 TSPS – Política de servicio | La política del servicio (Service Policy) debe describir el nivel de seguridad y los compromisos asumidos, y debe estar aprobada por la dirección. | NC | Alta | Sí | — | 0 |
| REQ-401-SUB-A | §6 Subcontratación de funciones | Cuando el TSP subcontrate funciones operativas del servicio, el subcontratista debe cumplir los requisitos aplicables y el TSP mantiene la responsabilidad. | NC | Alta | Sí | — | 0 |
| REQ-401-SUB-B | §6 Subcontratación – Cloud | Si el TSP utiliza servicios cloud, debe asegurar la conformidad del proveedor con los requisitos aplicables (ENS, ISO 27001, ubicación de datos). | NC | Alta | Sí | — | 0 |
| REQ-401-VULN-A | § Gestión de vulnerabilidades públicas | El TSP debe disponer de una política y un canal de divulgación responsable de vulnerabilidades para receptores externos. | NC | Media | Sí | — | 0 |