Resultado de la fase de Discovery — Correos
Iteración 1 (2026-05-06) — primer ciclo de respuestas al
cuestionario-cliente.md. Pendientes de cerrar varias decisiones con el sponsor de Correos (marcadas TBD).
1. Ficha del cliente
- Razón social: Sociedad Estatal Correos y Telégrafos, S.A., S.M.E.
- CIF: A-83052407
- Domicilio social: Vía de Dublín, 7 — 28070 Madrid
- Capital: 100% público (accionista único: SEPI)
- Plantilla: ~50.000 empleados
- Sponsor del proyecto: TBD (esperado: Dirección de Tecnología o Servicios Digitales)
- Persona de contacto principal: TBD
- Fecha de cierre de iteración 1: 2026-05-06
- Equipo del consultor: TBD
Posicionamiento previo de Correos en el mercado de confianza
- NO es QTSP a fecha de hoy. No figura en la TSL española para ningún servicio cualificado. Este proyecto es la primera cualificación como QTSP, con alcance limitado a QTSA + QERDS.
- Opera servicios digitales relacionados pre-existentes pero no cualificados bajo eIDAS: Correos eDelivery, Notifica, Correos ID (identificación remota), buzón electrónico, carta certificada digital (DEPP), sello de tiempo (no cualificado).
- Red postal: ~2.400 oficinas físicas con capacidad de identificación presencial — activo diferencial para el QERDS.
2. Decisiones de alcance — estado tras iteración 1
| Decisión | Estado | Detalle |
|---|---|---|
| Servicios cualificados objetivo | ✅ Cerrada | Solo QTSA + QERDS. No ampliar a otros servicios (firma/sello/QWAC quedan fuera). |
| Modalidad QERDS | ⏳ TBD | A cerrar con sponsor. Inclinación natural: web/API (Correos ya opera DEPP/eDelivery). REM solo si voluntad estratégica de ofrecer email certificado. |
| Identificación de usuarios | ⏳ TBD | Inclinación: mixta (presencial en oficinas + remota), pero pendiente de confirmación formal con sponsor. Si se confirma alta remota, ETSI EN 319 461 entra en alcance. |
| CA para certificados de TSU/QERDS | ⏳ TBD | Correos no dispone hoy de certificados cualificados emitidos a su nombre (no es QTSP). Dos vías sobre la mesa: A) montar una CA interna propia no cualificada reforzada a EN 319 411-1 (control total, ~50 controles 411-1 + 54 controles 412 al gap analysis) / B) contratar a un QTSP externo cualificado (FNMT, Camerfirma, ANCERT, Firmaprofesional…) para que emita los certs del TSU y del sello QERDS (responsabilidad delegada, sin matrices adicionales — el perfil de cert queda cubierto por el agregado EN 319 422 §6.1). Decisión de arquitectura técnica + comercial. |
| Plazo objetivo de alta en TSL | ⏳ TBD | Sin fecha fija. Cronograma en 03-roadmap/ usa referencia orientativa 18 meses. |
| Mercado objetivo | ✅ Parcial | España (no transfronterizo dedicado). Segmentos B2G/B2B/B2C TBD. |
Consecuencias en el gap analysis
| Norma | ¿Activa? | Razón |
|---|---|---|
| ETSI EN 319 401 | ✅ Siempre | Transversal |
| ETSI EN 319 421 | ✅ | QTSA en alcance |
| ETSI EN 319 422 | ✅ | QTSA en alcance |
| ETSI EN 319 521 | ✅ | QERDS en alcance |
| ETSI EN 319 522 (todas las partes) | ✅ | QERDS en alcance |
| ETSI EN 319 532 (REM) | ⏳ TBD | Pendiente de cerrar modalidad QERDS (1.2) |
| ETSI EN 319 461 | ⏳ TBD | Pendiente de cerrar identificación de usuarios (1.3). Se mantiene la matriz cargada como referencia pero su aplicabilidad queda condicional hasta confirmación. |
| ETSI TS 119 312 | ✅ Siempre | Referenciada desde 401 |
| ISO/IEC 27001 | ✅ Siempre | Implícita en 401 §7 |
| ETSI EN 319 411-1 | ⏳ TBD | Si Correos opta por CA interna propia (opción A de 1.4), 411-1 entra como obligatoria (NCP/NCP+, ~50 controles). Se activa automáticamente al cerrar 1.4 = A desde la UI; mover PDF de no-aplicables-qtsa-qerds/ a aplicables/ en el mismo momento. |
| ETSI EN 319 412-1/3/5 | ⏳ TBD | Mismo trigger: si 1.4 = opción A, se activa el desglose del perfil X.509 (54 controles). En opción B queda cubierto por el agregado EN 319 422 §6.1. |
3. Punto de partida — clasificación
Marcar la opción que mejor describe al cliente.
- ☑ Tipo A — Desde cero. No es TSP. Sin infraestructura PKI/HSM dedicada. SGSI inmaduro o ausente. Plazo realista: 18-24 meses.
- ☐ Tipo B — TSP no cualificado existente. Ya presta servicios de confianza no cualificados. Tiene PKI/HSM operativos. SGSI con desarrollo desigual. Plazo realista: 12-18 meses.
- ☐ Tipo C — QTSP existente en otro servicio. Ya está en TSL para firma o sello cualificados. Quiere ampliar a QTSA y/o QERDS. SGSI maduro. Plazo realista: 6-12 meses.
Justificación: Correos no es TSP cualificado ni no cualificado registrado ante el supervisor eIDAS. Opera servicios digitales pre-existentes (eDelivery, Notifica, DEPP, sello de tiempo no cualificado, identificación remota) pero ninguno dado de alta como servicio de confianza eIDAS. La infraestructura PKI/HSM debe diseñarse o ampliarse para soportar las nuevas operaciones QTSA + QERDS. Cronograma orientativo en 03-roadmap/cronograma.md asume Tipo A.
4. Síntesis del estado actual por bloque
| Bloque | Madurez (1-5) | Hallazgos clave |
|---|---|---|
| Gobierno / SGSI | TBD | TBD |
| Recursos humanos | TBD | TBD |
| Infraestructura física | TBD | TBD |
| PKI / HSM / criptografía | TBD | TBD |
| TSA | TBD | TBD |
| QERDS | TBD | TBD |
| Operaciones / monitorización | TBD | TBD |
| Continuidad / DR | TBD | TBD |
| Aspectos jurídicos | TBD | TBD |
| Ecosistema / partners | TBD | TBD |
| Presupuesto | TBD | TBD |
Escala de madurez:
- 1 — Inexistente: nada hecho.
- 2 — Inicial: hay piezas dispersas sin gobernanza.
- 3 — Definido: documentado pero no auditado.
- 4 — Gestionado: documentado, auditado internamente, evidencias.
- 5 — Optimizado: medido por KPIs, mejora continua, auditoría externa positiva.
5. Hallazgos por entrevista
Entrevista 1 — Sponsor ejecutivo
TBD
Entrevista 2 — CISO
TBD
Entrevista 3 — CTO / Arquitecto
TBD
Entrevista 4 — Legal / DPO
TBD
Entrevista 5 — Operaciones / SRE
TBD
Entrevista 6 — RR.HH.
TBD
Entrevista 7 — Comercial / Producto
TBD
6. Riesgos identificados en discovery
| ID | Riesgo | Probabilidad (B/M/A) | Impacto (B/M/A) | Mitigación propuesta |
|---|---|---|---|---|
| RISK-01 | (ej.) Sin presupuesto aprobado para HSMs | A | A | Cerrar inversión antes de T+2m |
| RISK-02 | TBD |
7. Decisiones pendientes que bloquean el roadmap
| # | Decisión | Owner | Plazo | Bloquea |
|---|---|---|---|---|
| D-01 | TBD | TBD | TBD | WP-XX |
8. Inventario de activos — resumen
Detalle completo en
inventario-activos.md.
- Sites: TBD
- HSMs: TBD
- TSUs: TBD
- Personal con roles críticos identificado: TBD
- Documentación normativa pre-existente: TBD
9. Próximos pasos
- ☐ Validación de este documento por el sponsor ejecutivo.
- ☐ Comunicación a equipos del cliente del resultado.
- ☐ Arranque de fase 2 — gap analysis (matrices
02-gap-analysis/*.md). - ☐ Solicitud de evidencias formal a partir de
inventario-activos.md.