pwcAuditoria PSC
Admin

Inventario de activos — plantilla

Discovery · inventario-activos.md

Inventario de activos — plantilla

Plantilla de inventario para volcar el estado material del cliente. El objetivo es tener una foto contrastable de qué hay realmente operativo, no qué se ha pretendido tener. Este inventario es prerequisito para el gap analysis (un control no se puede evaluar si no se sabe sobre qué activo se evalúa).

Convención: cada activo tiene un ID único que se usa después en las matrices de gap analysis y en evidencias.


A. Sites / datacenters

IDNombreUbicaciónProveedorTier / certif.RolSites redundantes conNotas
SITE-01Primario / DR
SITE-02

B. HSMs

IDSiteModeloFabricanteFirmwareCert. CC EAL / EN 419 221-5Operativo desdePróxima rotaciónDoble custodiaNotas
HSM-01SITE-01Sí/No
HSM-02SITE-02Sí/No

Mínimo recomendado: 2 HSMs en producción + 1 en DR + 1 en disaster store offline. Todos con la misma versión de firmware certificada.


C. Pares de claves / certificados

IDTipoHSMAlgoritmoLongitudUso (TSU/Sello-evidencia/CA-interna…)Cert. emitido porVigenciaEstadoPolítica referenciada
KEY-01TSU signingHSM-01RSA / ECDSA4096 / P-384TSU-1CA externa "X"2024-01–2027-01ActivoOID política QTSA
KEY-02TSU signingHSM-02TSU-2
KEY-03ERDS evidence sealingHSM-01QERDS evidences
KEY-04Internal CAHSM-01Emite KEY-01/02/03 si CA internaself-signed

D. TSU (Time-Stamping Units)

IDSiteVersión softwareImplementaciónHash algos aceptadosPolítica referenciada en TSTEndpointCapacidad (TST/s)Notas
TSU-1SITE-01SHA-256 / SHA-384OID …https://…
TSU-2SITE-02

E. Fuentes de tiempo

IDTipoUbicaciónStratumSincronizaciónTrazabilidad UTCDrift medidoConectado a
TIME-01GNSSSITE-01 (azotea)continuasí (operador GNSS)< X msTSU-1, TSU-2
TIME-02NTPservidor X1NTPv4sí (REE/IGS/…)
TIME-03NTPservidor Y1redundancia

F. Plataforma QERDS

IDComponenteVersiónImplementaciónEstándares ETSI 522 cubiertosCapacidadNotas
QERDS-01Frontend web
QERDS-02Engine de evidencias522-1, 522-2, 522-3, 522-4-x
QERDS-03Connector con TSA
QERDS-04Storage de evidenciasretención 15 años

G. Identificación de usuarios (si aplica)

IDMétodoProveedorConformidad ETSI EN 319 461Volumen previstoNotas
ID-01Videoidentificaciónsí/no
ID-02DNIe + NFC
ID-03Cl@ve
ID-04PresencialN/A

H. Sistemas de gestión y monitorización

IDSistemaFunciónCoberturaLogs firmadosRetención
OPS-01SIEMcorrelaciónlogs PKI/TSA/QERDS/SOsí/no
OPS-02NMSred
OPS-03APMaplicación
OPS-04Ticketinggestión
OPS-05KMS / Secrets managerclaves no-HSM

I. Documentación normativa publicada

IDDocumentoURL públicaVersiónFechaFirmado con
DOC-01TSA Policysello cualificado
DOC-02TSA Practice Statement
DOC-03ERDS Policy
DOC-04ERDS Practice Statement
DOC-05PKI Disclosure Statement
DOC-06Términos y condiciones
DOC-07Plan de cese
DOC-08Política de privacidad

J. Personal con roles críticos

IDRolPersonaBackupNDA firmadoBackground checkFormación últimaNotas
ROL-01CISO
ROL-02Custodian de clave A
ROL-03Custodian de clave B
ROL-04TSA Operator
ROL-05Auditor interno
ROL-06DPO

K. Subcontratistas / proveedores críticos

IDProveedorServicioContrato firmaCláusulas eIDASSLAAuditoría disponible
SUB-01(ej. CA externa)sí/no
SUB-02(ej. proveedor identificación remota)
SUB-03(ej. datacenter)
SUB-04(ej. CAB)auditoría conformidadN/A

L. Pólizas y garantías

IDTipoAseguradoraCoberturaVigenciaNotas
POL-01RC profesional QTSP≥ 2.000.000 €Ley 6/2020 art. 9.3.b
POL-02Ciberseguridad
POL-03Locales / activos

Cómo se usa este inventario después

  • Cada fila de la matriz consolidada del gap analysis referencia uno o varios IDs de activos.
  • Las evidencias en 05-evidencias/ siguen el naming <control-id>__<activo-id>__<fecha>.<ext> para trazabilidad bidireccional.
  • En el roadmap, los work packages que afectan a un activo lo declaran explícitamente.