Cuestionario inicial al cliente — Discovery
Cuestionario estructurado para descubrir el punto de partida del cliente en su preparación como QTSP de QTSA + QERDS.
Cómo usar este cuestionario:
- Enviar al cliente como autoevaluación previa (formato Word/PDF) o usarlo como guion en talleres.
- Las respuestas se vuelcan a
resultado-discovery.md.
- Las preguntas marcadas [DECISIÓN ALCANCE] son bloqueantes — sin respuesta no se puede arrancar el gap analysis.
- Las preguntas marcadas [EVIDENCIA] requieren documento adjunto.
Bloque 0 — Identificación del cliente
Pre-rellenado con datos públicos. Confirmar / ajustar.
| # | Pregunta | Respuesta |
|---|
| 0.1 | Razón social y CIF/NIF de la entidad. | Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. — CIF A-83052407. |
| 0.2 | Domicilio social y dirección de operación. | Vía de Dublín, 7 — 28070 Madrid (Campo de las Naciones). Operación distribuida nacionalmente con sedes técnicas en Madrid. |
| 0.3 | Año de constitución y actividad principal. | Constituida como S.A. en 2001 (transformación del antiguo Organismo Autónomo Correos y Telégrafos). Actividad: servicio postal universal + paquetería + servicios digitales (notificaciones, identidad digital, sello cualificado de tiempo, entrega electrónica). |
| 0.4 | Volumen de facturación último ejercicio (rango). | ~2.000 M€ anuales (rango público según Cuentas Anuales SEPI). |
| 0.5 | Plantilla total y % dedicada a TI/Seguridad. | ~50.000 empleados totales. % TI/Seguridad: TBD durante entrevistas. |
| 0.6 | ¿Cotiza, es filial de matriz extranjera, capital público? | Capital 100% público. Accionista único: Sociedad Estatal de Participaciones Industriales (SEPI). No cotiza. |
| 0.7 | Persona de contacto principal del proyecto (nombre, rol, email). | TBD — pendiente de designación por Correos. |
| 0.8 | Sponsor ejecutivo del proyecto (CEO/CTO/CISO/…). | TBD — esperado: Dirección de Tecnología o Dirección de Servicios Digitales. |
Bloque 1 — Decisiones de alcance [DECISIÓN ALCANCE]
Estas decisiones determinan qué normas entran en el gap analysis. Si el cliente no las ha tomado, hay que cerrarlas en taller con el sponsor.
1.1 Servicios cualificados que se quieren ofrecer
| Servicio | ¿En alcance? | Fecha objetivo | Notas |
|---|
| QTSA (sello cualificado de tiempo) | ☑ Sí | TBD | Alcance principal del proyecto. |
| QERDS (entrega electrónica certificada cualificada) | ☑ Sí | TBD | Alcance principal. |
| Otros (firma cualificada, sello, QWAC) | ☐ No | — | Fuera de alcance. Correos NO es QTSP a fecha de hoy — este proyecto es la primera cualificación como QTSP, limitada a QTSA + QERDS. |
1.2 Modalidad QERDS
Marcar solo una opción. Ver explicación en ../00-marco-regulatorio/glosario.md y obligaciones-qtsp.md.
- ☐ Modalidad web/API
- ☐ Modalidad REM
- ☐ Ambas modalidades
- ☑ Aún no decidido — TBD pendiente de cierre con sponsor de Correos.
Estado: queda como decisión abierta. La matriz ../02-gap-analysis/532-qerds-rem.md.template permanece como template inactivo hasta que la decisión se cierre.
Nota técnica: Correos ya opera servicios estilo "DEPP / Correos eDelivery" (web/API), no opera REM hoy. La opción más natural es web/API; activar REM significaría montar infraestructura SMTP cualificada nueva.
1.3 Identificación de remitentes/destinatarios QERDS
¿Cómo se identifica a un usuario nuevo del servicio QERDS antes de aceptarlo como remitente o destinatario?
- ☐ Solo presencial
- ☐ Solo remota
- ☑ Mixta — presencial en oficinas + identificación remota (videoidentificación / eID cualificado).
- ☐ Aún no decidido
Estado: cerrado. ETSI EN 319 461 entra en alcance (filas activas en ../02-gap-analysis/521-qerds-policy.md marcadas como aplicables).
Nota: aprovecha la red de ~2.400 oficinas postales para identificación presencial (ventaja competitiva única de Correos) + capacidad de identificación remota ya existente (Correos ID / videoidentificación).
1.4 CA para certificados de TSU y sello QERDS
Para emitir certificados de TSU (sello de tiempo) y de firma de evidencias QERDS, ¿qué planea Correos?
- ☐ A) CA interna propia, no cualificada, reforzada a ETSI EN 319 411-1 (NCP/NCP+).
- ☐ B) Contratar a un QTSP externo cualificado (FNMT, Camerfirma, ANCERT, Firmaprofesional…) para que emita los certs del TSU y del sello QERDS.
- ☑ Aún no decidido — TBD pendiente de cierre con arquitectura técnica de Correos.
Contexto: Correos no es QTSP a fecha de hoy y no dispone de certificados cualificados emitidos a su nombre. Para alcanzar la cualificación de QTSA + QERDS necesita certificados que cumplan eIDAS Art. 28 como sustrato técnico (firma el TST del QTSA y el sello sobre las evidencias QERDS). ETSI EN 319 421 §6.2.2 admite que esos certs los emita o bien (a) un QTSP cualificado externo, o bien (b) una CA interna del propio QTSP que cumpla EN 319 411-1 (no es necesario 411-2 ni estar en TSL como QTSP-emisor-de-certs).
| Opción | Implicación | Esfuerzo extra |
|---|
| A) CA interna propia reforzada a EN 319 411-1 | Control total e independencia del proveedor. La CA NO entra en TSL como QTSP-emisor-de-certs (basta cumplir 411-1, no 411-2). CAB la audita junto con QTSA + QERDS. | Montar/operar la CA (HSMs, ceremonias de clave, equipo), CP/CPS propios, ~50 controles adicionales de 411-1 + desglose 412 (54 controles del perfil X.509). |
| B) Contratar a un QTSP externo cualificado | Responsabilidad regulatoria delegada al tercero. Tiempo a producción rápido (semanas vs meses). | Selección de proveedor + tender, contrato con cláusulas eIDAS-conformes (cubierto en EN 319 401 §7.13 cadena de suministro y WP-11), verificación de su CP/CPS. Vendor lock-in. |
Recomendación del consultor: opción B por defecto (más rápida y menos arriesgada para un primer alta como QTSP). Opción A solo si hay razón estratégica clara para tener CA propia (p. ej. volumen alto que amortice CAPEX, requisitos contractuales con AAPP). Lo cierra Arquitectura de Correos.
1.5 Plazo objetivo
| # | Pregunta | Respuesta |
|---|
| 1.5.1 | ¿Cuándo se quiere estar en producción como cualificado (alta en TSL)? | Sin fecha fija aún — TBD pendiente de cierre con sponsor de Correos. |
| 1.5.2 | ¿Cuándo se quiere estar en producción no cualificado (operativo pero antes de la auditoría)? | TBD. |
| 1.5.3 | ¿Hay deadline regulatorio o comercial fijo? (concurso, contrato, ronda de inversión, etc.) | TBD — a confirmar si hay concurso público o contrato AAPP que fije fecha. |
Hasta que se cierre 1.5.1, el cronograma en ../03-roadmap/cronograma.md usa una referencia orientativa de 18 meses (Tipo C), pero las fechas concretas están en TBD.
1.6 Mercado objetivo
| # | Pregunta | Respuesta |
|---|
| 1.6.1 | ¿España solo, EU, ambos? | España únicamente (en alcance inicial del proyecto). Reconocimiento eIDAS transfronterizo se obtiene automáticamente vía TSL/LOTL pero no se diseñan productos específicos cross-border. |
| 1.6.2 | ¿B2B, B2C, AAPP? | TBD — pendiente de cerrar segmentos prioritarios con Producto/Comercial. Por probabilidad alta dada la naturaleza pública de Correos: B2G (AAPP) prioritario, B2B secundario, B2C posible pero menos enfocado. |
| 1.6.3 | ¿Volumen estimado año 1, año 3? (operaciones/sellos/envíos por mes) | TBD — el dimensionamiento técnico depende de esto. |
| 1.6.4 | ¿Algún caso de uso vertical (judicial, financiero, sanidad, telco…)? | TBD — Correos tiene historial fuerte en notificaciones a/de AAPP, judiciales y administrativas. |
Bloque 2 — Estado regulatorio actual
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 2.1 | ¿Sois actualmente TSP no cualificado? | ☐ Sí ☑ No | Correos opera servicios postales y eDelivery propios, pero no se ha registrado como TSP (cualificado ni no cualificado) ante el supervisor eIDAS. |
| 2.2 | ¿Estáis ya en la TSL española para algún servicio cualificado? | ☐ Sí ☑ No | Correos no figura en la TSL. Este proyecto es la primera alta como QTSP, alcance QTSA + QERDS. |
| 2.3 | ¿Habéis hecho una notificación al supervisor (SETELECO/SEDIA) en el pasado? | ☐ Sí ☑ No | Sin notificación previa — este proyecto incluye la notificación inicial (cubierto en eIDAS Art. 21 + WP-11). |
| 2.4 | ¿Habéis sido auditados por un CAB acreditado por ENAC? | ☐ Sí ☑ No | Sin auditorías eIDAS previas. La primera auditoría CAB se planifica en el WP de "Pre-CAB + CAB" del cronograma. |
| 2.5 | ¿Operáis bajo alguna licencia, registro o autorización sectorial? | Sociedad Estatal | Operador postal universal (Ley 43/2010), entidad del sector público estatal participada por SEPI. No es licencia eIDAS ni telco. |
Bloque 3 — Gobierno y SGSI
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 3.1 | ¿Tenéis certificación ISO/IEC 27001 vigente? | ☐ Sí ☐ No | Certificado + alcance + auditoría reciente. |
| 3.2 | ¿Tenéis SGSI implementado pero no certificado? | ☐ Sí ☐ No | Política, declaración de aplicabilidad, manual SGSI. |
| 3.3 | ¿Tenéis CISO designado a tiempo completo? | ☐ Sí ☐ No | Organigrama. |
| 3.4 | ¿Tenéis DPO registrado en AEPD? | ☐ Sí ☐ No | Comunicación a AEPD. |
| 3.5 | ¿Tenéis comité de seguridad con periodicidad regulada? | ☐ Sí ☐ No | Actas. |
| 3.6 | ¿Tenéis política formal de clasificación de información? | ☐ Sí ☐ No | Documento. |
| 3.7 | ¿Tenéis análisis de riesgos formal y vigente (≤12 meses)? | ☐ Sí ☐ No | Informe AR. |
| 3.8 | ¿Tenéis plan de tratamiento de riesgos y seguimiento? | ☐ Sí ☐ No | Plan. |
| 3.9 | ¿Tenéis certificación ENS (si aplica) o equivalente? | ☐ Sí ☐ No | |
| 3.10 | ¿Hay separación de funciones documentada (admin/operador/auditor)? | ☐ Sí ☐ No | Matriz RACI. |
Bloque 4 — Recursos humanos
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 4.1 | ¿Tenéis proceso documentado de incorporación (background check, NDA, formación)? | ☐ Sí ☐ No | Procedimiento RR.HH. |
| 4.2 | ¿Hacéis verificación de antecedentes para roles sensibles (TSU operators, key custodians)? | ☐ Sí ☐ No | |
| 4.3 | ¿Hay plan de formación anual en seguridad para todo el personal? | ☐ Sí ☐ No | Plan + registros. |
| 4.4 | ¿Hay roles formalmente designados para PKI/TSA/QERDS (custodios de clave, oficiales de seguridad, operadores)? | ☐ Sí ☐ No | Nombramientos firmados. |
| 4.5 | ¿Existen NDA y cláusulas contractuales que cubran post-empleo? | ☐ Sí ☐ No | Modelos contractuales. |
| 4.6 | ¿Hay subcontratistas previstos en operaciones críticas? | ☐ Sí ☐ No | Lista + contratos con cláusulas de auditoría. |
Bloque 5 — Infraestructura física
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 5.1 | ¿Datacenter propio o alquilado? | | Indicar proveedor (Equinix, Interxion, Telefónica…) y ubicación física. |
| 5.2 | ¿Cuántos sites con activos críticos (mínimo 2 para alta disponibilidad)? | | |
| 5.3 | ¿Certificación del datacenter? (ISO 27001, Tier III/IV, ENS Alto, SOC 2…) | | Certificados. |
| 5.4 | ¿Hay sala segura segregada específica para criptografía (ceremonia, custodia HSMs)? | ☐ Sí ☐ No | |
| 5.5 | ¿Existen controles de acceso físico registrados (multicapa, doble custodia, biometría)? | ☐ Sí ☐ No | Política + logs. |
| 5.6 | ¿Hay CCTV con retención auditada en zonas críticas? | ☐ Sí ☐ No | Política de retención. |
| 5.7 | ¿Hay detección y supresión de incendios específica para sala criptográfica? | ☐ Sí ☐ No | |
| 5.8 | ¿Hay redundancia eléctrica (UPS, generador, doble acometida)? | ☐ Sí ☐ No | |
| 5.9 | ¿Hay redundancia de climatización? | ☐ Sí ☐ No | |
Bloque 6 — PKI / criptografía / HSM
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 6.1 | ¿Tenéis HSMs operativos actualmente? | ☐ Sí ☐ No | Modelo, fabricante, firmware, ubicación. |
| 6.2 | ¿Los HSMs tienen certificación CC EAL 4+ o EN 419 221-5? | ☐ Sí ☐ No | Certificación + alcance. |
| 6.3 | ¿Existe inventario actualizado de pares de claves y sus usos? | ☐ Sí ☐ No | Inventario. |
| 6.4 | ¿Hay política formal de gestión de claves (KMS) cubriendo ciclo de vida completo? | ☐ Sí ☐ No | KMS Policy. |
| 6.5 | ¿Las ceremonias de clave se ejecutan con guion firmado, doble custodia, registro de testigos? | ☐ Sí ☐ No | Modelo de guion + actas. |
| 6.6 | ¿Hay backup de claves cifrado y guardado en sitio separado? | ☐ Sí ☐ No | Procedimiento. |
| 6.7 | ¿Hay plan de rotación de claves y certificados con calendarios? | ☐ Sí ☐ No | |
| 6.8 | ¿Operáis ya alguna CA propia (raíz, intermedia, internal)? | ☐ Sí ☐ No | Diagrama de jerarquía + CPS. |
| 6.9 | ¿Las suites criptográficas elegidas siguen ETSI TS 119 312? | ☐ Sí ☐ No | Lista de algoritmos/longitudes. |
Bloque 7 — TSA / sello de tiempo
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 7.1 | ¿Tenéis TSA en producción actualmente (cualificada o no)? | ☐ Sí ☐ No | Endpoint, política referenciada. |
| 7.2 | ¿Cuántas TSU tenéis previstas? | | |
| 7.3 | ¿Cuál es el producto / framework subyacente? (Bull/Atos, Ascertia, EJBCA, in-house…) | | |
| 7.4 | ¿Cómo se sincroniza la fuente de tiempo con UTC? (GNSS, NTP estrato 1, PTP) | | Diagrama + auditoría de drift. |
| 7.5 | ¿Hay al menos 2 fuentes de tiempo independientes? | ☐ Sí ☐ No | |
| 7.6 | ¿Se publica TSA Policy y TSA Practice Statement? | ☐ Sí ☐ No | URLs / PDFs. |
| 7.7 | ¿Implementáis los perfiles ETSI EN 319 422 (tipos de TST, hash algorithms aceptados, política referenciada)? | ☐ Sí ☐ No | |
| 7.8 | ¿Hay dashboard de monitorización de drift y disponibilidad de la TSA? | ☐ Sí ☐ No | |
Bloque 8 — QERDS / entrega electrónica
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 8.1 | ¿Tenéis plataforma de entrega electrónica en producción? (cualificada o no) | ☐ Sí ☐ No | Producto / desarrollo propio. |
| 8.2 | ¿Modalidad técnica del transporte? (web/API, email, ambas) | | Ver Bloque 1.2. |
| 8.3 | ¿Cómo se identifica el remitente (alta inicial)? | | |
| 8.4 | ¿Cómo se identifica el destinatario (antes de la entrega)? | | |
| 8.5 | ¿Generáis ya evidencias firmadas (Submission, ContentConsignment, Handover, Acceptance, Rejection)? | ☐ Sí ☐ No | Ejemplo de evidencia. |
| 8.6 | ¿Las evidencias se firman con sello cualificado? | ☐ Sí ☐ No | Cert. del sello. |
| 8.7 | ¿Las evidencias incluyen TST cualificado? | ☐ Sí ☐ No | |
| 8.8 | ¿Cómo se conservan las evidencias y por cuánto tiempo? | | Política de retención. |
| 8.9 | ¿Implementáis los protocolos ETSI EN 319 522 (1, 2, 3, 4-1/4-2/4-3)? | ☐ Sí ☐ No | |
| 8.10 | (Si REM) ¿Implementáis ETSI EN 319 532 (REM)? | ☐ Sí ☐ No N/A | |
Bloque 9 — Operaciones, monitorización, incidentes
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 9.1 | ¿Hay SOC 24/7 propio o subcontratado? | ☐ Sí ☐ No | Contrato/SLA. |
| 9.2 | ¿Hay SIEM con correlación de logs de seguridad? | ☐ Sí ☐ No | |
| 9.3 | ¿Los logs de PKI/TSA/QERDS se firman/sellan en tiempo? | ☐ Sí ☐ No | |
| 9.4 | ¿Los logs se conservan al menos 15 años (Ley 6/2020 art. 9.3.a)? | ☐ Sí ☐ No | Política de retención. |
| 9.5 | ¿Hay procedimiento de gestión de incidentes documentado? | ☐ Sí ☐ No | |
| 9.6 | ¿Hay procedimiento específico de notificación al supervisor en 24h? | ☐ Sí ☐ No | |
| 9.7 | ¿Se hacen simulacros de incidente al menos anuales? | ☐ Sí ☐ No | Actas de simulacros. |
| 9.8 | ¿Hay integración con CSIRT/CERT (CCN-CERT, INCIBE-CERT, sector)? | ☐ Sí ☐ No | |
Bloque 10 — Continuidad y recuperación
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 10.1 | ¿Hay BCP/DRP formal y vigente? | ☐ Sí ☐ No | Plan + última revisión. |
| 10.2 | ¿Cuáles son los RTO/RPO del servicio TSA y QERDS? | | |
| 10.3 | ¿Hay DR site físicamente separado y operativo? | ☐ Sí ☐ No | |
| 10.4 | ¿Se hacen pruebas de DR al menos anuales? | ☐ Sí ☐ No | Actas. |
| 10.5 | ¿Existe plan de cese de actividad (art. 24.2.i eIDAS / art. 9.3.c Ley 6/2020)? | ☐ Sí ☐ No | Plan. |
Bloque 11 — Aspectos jurídicos y contractuales
| # | Pregunta | Respuesta | [EVIDENCIA] |
|---|
| 11.1 | ¿Tenéis seguro de responsabilidad civil para servicios de confianza con cobertura ≥ 2.000.000 €? | ☐ Sí ☐ No | Póliza. |
| 11.2 | ¿Tenéis términos y condiciones del servicio publicados? | ☐ Sí ☐ No | URL. |
| 11.3 | ¿Tenéis PKI Disclosure Statement (PDS) público? | ☐ Sí ☐ No | URL. |
| 11.4 | ¿Tenéis política de privacidad alineada con RGPD/LOPDGDD? | ☐ Sí ☐ No | |
| 11.5 | ¿Hay Registro de Actividades de Tratamiento (RAT)? | ☐ Sí ☐ No | RAT. |
| 11.6 | ¿Hay EIPD para los tratamientos relacionados con QERDS (alto riesgo)? | ☐ Sí ☐ No | |
| 11.7 | ¿Despacho legal externo en propiedad intelectual / servicios de confianza identificado? | ☐ Sí ☐ No | |
Bloque 12 — Ecosistema y partners
| # | Pregunta | Respuesta |
|---|
| 12.1 | ¿Tenéis ya CAB candidato para la auditoría? (LSTI, AENOR, BSI…) | |
| 12.2 | ¿Tenéis proveedor HSM identificado o ya contratado? (Thales, Utimaco, Entrust…) | |
| 12.3 | ¿Tenéis proveedor de software TSA/QERDS? (in-house, comercial, mixto) | |
| 12.4 | ¿Tenéis proveedor de identificación remota (si aplica)? (Veridas, Electronic Identification, Onfido, Mitek…) | |
| 12.5 | ¿Tenéis consultor jurídico especializado en eIDAS? | |
| 12.6 | ¿Algún partner comercial comprometido como early adopter? | |
Bloque 13 — Presupuesto y financiación
| # | Pregunta | Respuesta |
|---|
| 13.1 | ¿Hay presupuesto aprobado para CAPEX y OPEX del proyecto? | ☐ Sí ☐ No / Importe orientativo. |
| 13.2 | ¿Se contemplan inversiones en HSM dentro del presupuesto? | |
| 13.3 | ¿Cómo se financiará el proyecto (recursos propios, financiación, ayuda pública)? | |
| 13.4 | ¿Hay business case / proyección financiera del servicio cualificado? | ☐ Sí ☐ No / Adjuntar. |
| 13.5 | ¿Se ha cuantificado el OPEX recurrente (auditoría CAB cada 24m, seguros RC, mantenimiento HSM…)? | ☐ Sí ☐ No |
Cierre — Riesgos percibidos por el cliente
| # | Pregunta | Respuesta |
|---|
| C.1 | ¿Cuáles son los 3 mayores riesgos que ves en el proyecto? | |
| C.2 | ¿Qué te ha bloqueado hasta ahora para no haberlo arrancado antes? | |
| C.3 | ¿Hay alguna decisión política interna pendiente que afecte al alcance? | |
| C.4 | ¿Algo que no te haya preguntado y consideres relevante? | |
Próximos pasos tras este cuestionario
- Revisión de respuestas + entrevistas adicionales según
guion-entrevistas.md.
- Validación del inventario de activos según
inventario-activos.md.
- Volcado consolidado en
resultado-discovery.md.
- Cierre formal de las decisiones de alcance (Bloque 1) en taller con el sponsor.
- Arranque de la fase 2 — gap analysis.