Evidencias del cliente

⚠️ Carpeta para datos sensibles del cliente. Tratar con cuidado:

• No subir a repositorios públicos.
• Considerar cifrado en reposo o tenerla fuera del control de versiones principal.
• Acceso estrictamente limitado al equipo del proyecto que necesite consultar evidencias para el gap analysis.
• Si el repo se comparte con el cliente, mantener esta carpeta en .gitignore o equivalente.

Propósito

Esta carpeta es un buzón para los documentos que el cliente entrega como evidencia de cumplimiento de los controles auditados en ../02-gap-analysis/.

Cada vez que el cliente aporta un documento, se guarda aquí siguiendo la convención de naming definida abajo, y se referencia desde la matriz correspondiente en la columna Evidencia.

Convención de naming

<control-id>__<activo-id>__<descripcion-corta>__<YYYYMMDD>.<ext>

Donde:

• <control-id> — ID del control en la matriz fuente. Reemplazar caracteres no válidos por -. Ejemplo: EN-319-401-§7.4.2 → EN-319-401-7-4-2.
• <activo-id> — ID del activo del ../01-discovery/inventario-activos.md. Ejemplo: HSM-01, TSU-1, ROL-02.
• <descripcion-corta> — descripción legible kebab-case. Ejemplo: acta-ceremonia-clave, certificado-iso-27001.
• <YYYYMMDD> — fecha de la evidencia (no de la subida).
• <ext> — pdf, png, jpg, txt, xml, etc.

Ejemplos

EN-319-401-7-4-2__HSM-01__inventario-accesos-privilegiados__20260315.pdf
EN-319-421-7-7__TIME-01__informe-drift-utc-trimestre-Q1__20260331.pdf
27001-A-6-1__ROL-02__background-check-evidencia__20260120.pdf
eIDAS-19-2__OPS-01__simulacro-notificacion-24h__20260415.pdf

Estructura sugerida (opcional)

Si el volumen lo justifica, organizar en subcarpetas por norma:

05-evidencias/
├── 401/
├── 421/
├── 422/
├── 521/
├── 522/
├── 27001/
├── eidas/
├── transversales/
└── README.md

Trazabilidad bidireccional

• De control a evidencia: en cada matriz, la columna Evidencia apunta al fichero (ruta relativa o absoluta).
• De evidencia a control: el <control-id> en el nombre del fichero permite buscar.

Si el cliente entrega un documento que cubre varios controles, NO se duplica el fichero — se crea un fichero "principal" con el nombre del control más relevante y se referencia desde múltiples matrices.

Ciclo de vida

Estado	Significado	Ubicación
Recibida	Cliente la ha entregado, pendiente de revisar.	05-evidencias/_inbox/ (opcional)
Validada	El consultor la ha revisado y la considera adecuada.	05-evidencias/<norma>/
Insuficiente	No cubre el control en toda su extensión.	Devolver al cliente con feedback.
Caducada	Aplicaba en su momento pero ya no es vigente.	05-evidencias/_caducadas/<año>/

Validez temporal

Algunas evidencias caducan automáticamente (certificados, pruebas de pen test, etc.). Para esos casos, la columna Evidencia de la matriz debe registrar también la fecha de validez y revisarse antes de la auditoría CAB.

Tipo de evidencia	Validez típica
Certificación ISO 27001	3 años (con vigilancia anual)
Pen test	1 año
Acta de ceremonia de clave	Indefinida (es un evento histórico)
Análisis de riesgos	1 año
Backup verificado	3 meses
Acta de simulacro DR	1 año
CAR del CAB	24 meses
Póliza RC	Vigencia de la póliza

Confidencialidad

Las evidencias pueden contener:

• Datos personales del personal del cliente (RGPD).
• Información sobre arquitectura interna que un atacante podría explotar.
• Configuraciones criptográficas detalladas.
• Identidades de custodios de clave.

→ El acceso debe limitarse a quien tenga necesidad de saber, con NDA firmado y registro de accesos.