Gap analysis
Cargando…
Cargando…
Tabla maestra · 1.172 controles totales · 960 resultados
| Control | Norma | Tema | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|---|
| EN 319 401 §4.2 (REQ-4.2-01) | 401-general-tsp | T01 | Al implementar los requisitos, el TSP debe tener en cuenta exposición al riesgo, tamaño, probabilidad e impacto de incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-02) | 401-general-tsp | T01 | Los requisitos marcados [PRO] se implementan según criterios de proporcionalidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-03) | 401-general-tsp | T01 | Documentar el análisis de aplicabilidad de requisitos como parte del marco de gestión de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-04) | 401-general-tsp | T01 | Mantener el análisis y resultados como parte de la documentación de evaluación de riesgos y a disposición de las autoridades. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-05) | 401-general-tsp | T01 | No descartar requisitos PRO sin justificación adecuada, independientemente del tamaño o alcance del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-06) | 401-general-tsp | T01 | Garantizar que el efecto acumulado de los PRO no aplicados no comprometa la postura de seguridad global. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-01) | 401-general-tsp | T01 | Realizar y documentar evaluaciones de riesgos, plan de tratamiento, procesos de gestión de ciberriesgos, marco de riesgos para redes/SI y revisión anual o tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-02) | 401-general-tsp | T01 | Establecer, implementar y monitorizar un plan de tratamiento del riesgo proporcional al riesgo (referencia a ISO/IEC 27005:2022). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-03) | 401-general-tsp | T01 | Determinar todos los requisitos de seguridad y procedimientos operativos necesarios para implementar las medidas de tratamiento, documentados en la política de seguridad y en el TSP Practice Statement. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-04) | 401-general-tsp | T01 | Revisar y actualizar la evaluación y el plan de tratamiento al menos anualmente y tras cambios o incidentes significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-05) | 401-general-tsp | T01 | Los órganos de dirección (o responsables con autoridad) deben aprobar el marco de evaluación de riesgos y aceptar el riesgo residual. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-06) | 401-general-tsp | T01 | Al priorizar opciones de tratamiento, considerar resultados de la evaluación, eficacia, coste/beneficio, clasificación de activos y BIA. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-07) | 401-general-tsp | T01 | Aplicar metodología de gestión de riesgos: tolerancia/apetito, criterios, identificación all-hazards (incluye terceros), análisis con threat intelligence, evaluación, priorización, monitorización continua, asignación de responsables y documentación de tratamiento y aceptación del residual. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-08) | 401-general-tsp | T01 | Determinar qué medidas se monitorizan/miden, métodos, frecuencia, responsables y análisis de resultados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-01) | 401-general-tsp | T01 | El TSP debe especificar el conjunto de políticas y prácticas adecuadas a los servicios prestados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-02) | 401-general-tsp | T01 | El conjunto de políticas y prácticas debe ser aprobado por la dirección, publicado y comunicado a empleados y partes externas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-03) | 401-general-tsp | T01 | Disponer de un Practice Statement que cubra los requisitos de la trust service policy aplicable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-04) | 401-general-tsp | T01 | El Practice Statement debe identificar las obligaciones de todas las organizaciones externas que dan soporte a los servicios. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-05) | 401-general-tsp | T01 | Hacer disponibles a suscriptores y relying parties el Practice Statement y la documentación necesaria para demostrar conformidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-06) | 401-general-tsp | T01 | Existir un órgano de dirección con responsabilidad global del TSP y autoridad final para aprobar el Practice Statement. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-07) | 401-general-tsp | T01 | La dirección debe implementar las prácticas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-08) | 401-general-tsp | T01 | Definir un proceso de revisión del Practice Statement, incluyendo responsabilidades de mantenimiento. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-09) [CONDITIONAL] | 401-general-tsp | T01 | Notificar adecuadamente a suscriptores y relying parties los cambios que puedan afectar a la aceptación del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-10) | 401-general-tsp | T01 | Hacer disponible inmediatamente el Practice Statement revisado tras su aprobación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-11) | 401-general-tsp | T01 | Indicar en las prácticas las disposiciones para la terminación del servicio (referencia a §7.12). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-01) | 401-general-tsp | T01 | Hacer disponibles los términos y condiciones del servicio a todos los suscriptores y relying parties. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-02) | 401-general-tsp | T01 | Los T&C deben especificar al menos política aplicada, limitaciones, obligaciones del suscriptor, información a relying parties, retención de logs, limitaciones de responsabilidad, sistema legal aplicable, procedimientos de quejas, conformidad con el esquema de evaluación, contacto y compromisos de disponibilidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-03) | 401-general-tsp | T01 | Informar a suscriptores y relying parties de los términos de forma clara, comprensible y accesible públicamente antes de la relación contractual. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-04) | 401-general-tsp | T01 | Los T&C deben distribuirse por un medio de comunicación duradero. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-05) | 401-general-tsp | T01 | Los T&C deben estar disponibles en lenguaje fácilmente comprensible. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-06) | 401-general-tsp | T01 | Los T&C pueden transmitirse electrónicamente. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-01) | 401-general-tsp | T01 | Definir una política de seguridad de redes y SI aprobada por dirección, alineada con la estrategia de negocio, con objetivos, mejora continua, recursos, comunicación, roles, retención documental, políticas específicas, indicadores y fecha de aprobación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-02) | 401-general-tsp | T01 | Comunicar los cambios de la política a terceros relevantes (suscriptores, relying parties, organismos supervisores y de evaluación). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-03) | 401-general-tsp | T01 | La política debe estar documentada, implementada y mantenida; revisada y actualizada al menos anualmente y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-04) | 401-general-tsp | T01 | Notificar al organismo supervisor cambios importantes en la prestación (al menos un mes antes del cambio) y la cesación (al menos tres meses antes). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-05) | 401-general-tsp | T01 | Publicar y comunicar la política a todos los empleados afectados (referencia a ISO/IEC 27002:2022 §5.1). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-06) | 401-general-tsp | T01 | Revisar periódicamente, al menos anualmente, la política y el inventario de activos para asegurar idoneidad y eficacia. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-07) | 401-general-tsp | T01 | Los cambios que afecten al nivel de seguridad deben ser aprobados por el órgano de dirección de §6.1-07. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-08) | 401-general-tsp | T01 | Comprobar regularmente la configuración de los sistemas para detectar cambios que violen la política de seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-09) | 401-general-tsp | T01 | Documentar en el Practice Statement el intervalo máximo entre dos comprobaciones. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-01) | 401-general-tsp | T01 | Definir y asignar responsabilidades y autoridades para la seguridad de redes y SI; comunicarlas a los órganos de dirección. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-02) | 401-general-tsp | T01 | Exigir a personal y terceros aplicar la seguridad de redes y SI conforme a la política, políticas específicas y procedimientos del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-03) | 401-general-tsp | T01 | Al menos una persona debe reportar directamente a la dirección sobre seguridad de redes y SI. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (PRO-7.1.1-04) | 401-general-tsp | T01 | Según el tamaño del TSP, cubrir la seguridad mediante roles dedicados o duties asignados a roles existentes; documentarlo en el plan de gestión de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-05) | 401-general-tsp | T01 | Revisar roles, responsabilidades y autoridades a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-01) | 401-general-tsp | T01 | La organización del TSP debe ser confiable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-02) | 401-general-tsp | T01 | Las prácticas del TSP no deben ser discriminatorias. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-03) | 401-general-tsp | T01 | Hacer accesibles los servicios a todos los solicitantes cuya actividad cae dentro del ámbito declarado y que aceptan los T&C. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-04) | 401-general-tsp | T01 | Mantener recursos financieros suficientes y/o seguro de responsabilidad civil adecuado conforme a la ley aplicable (referencia a art. 13 Reglamento (UE) 910/2014). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-05) | 401-general-tsp | T01 | Tener la estabilidad financiera y los recursos necesarios para operar conforme a esta política. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-06) | 401-general-tsp | T01 | Disponer de políticas y procedimientos para resolver quejas y disputas de clientes y relying parties. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.3 (REQ-7.1.3-01) | 401-general-tsp | T01 | Segregar deberes y responsabilidades en conflicto para reducir oportunidades de uso indebido o modificación no autorizada de los activos del TSP (referencia a ISO/IEC 27002:2022 §5.3). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-01) | 401-general-tsp | T02 | Asegurar que empleados, proveedores y contratistas comprenden y se comprometen con sus responsabilidades de seguridad; mecanismos de awareness, formación y revisión anual de asignaciones (referencia a ISO/IEC 27002:2022 §5.4). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-02) | 401-general-tsp | T02 | Emplear personal y subcontratistas con expertise, fiabilidad, experiencia y formación en ciberseguridad y protección de datos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-03) | 401-general-tsp | T02 | Identificar al menos una persona responsable de seguridad de redes y SI que reporte a la alta dirección. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-04) | 401-general-tsp | T02 | El personal en trusted roles (incl. subcontratistas) debe poder demostrar conocimientos expertos mediante formación formal, credenciales o experiencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-05) | 401-general-tsp | T02 | El personal en trusted roles debe recibir actualizaciones sobre nuevas amenazas y prácticas de seguridad al menos cada 12 meses. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-06) | 401-general-tsp | T02 | Aplicar sanciones disciplinarias proporcionadas tras un proceso documentado, revisado anualmente, considerando requisitos legales y contractuales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-07) | 401-general-tsp | T02 | Documentar roles y responsabilidades de seguridad en descripciones de puesto accesibles al personal. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-08) | 401-general-tsp | T02 | Identificar claramente los trusted roles de los que depende la operación del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-09) | 401-general-tsp | T02 | Definir descripciones de puesto con segregación de funciones y mínimo privilegio, sensibilidad de la posición, screening y formación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (PRO-7.2-10) | 401-general-tsp | T02 | Diferenciar funciones generales y específicas del TSP en las descripciones de puesto, incluyendo skills y experiencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-11) | 401-general-tsp | T02 | El personal debe ejercer procedimientos de gestión coherentes con los procedimientos de seguridad de la información del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-12) | 401-general-tsp | T02 | El personal directivo debe poseer experiencia/formación en el servicio de confianza, procedimientos de seguridad y evaluación de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-13) | 401-general-tsp | T02 | El personal en trusted roles debe estar libre de conflictos de interés que perjudiquen la imparcialidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-14) | 401-general-tsp | T02 | Los trusted roles deben incluir Security Officers, System Administrators, System Operators y System Auditors con responsabilidades específicas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-15) | 401-general-tsp | T02 | El personal debe ser nombrado formalmente en los trusted roles por la alta dirección responsable de seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-16) | 401-general-tsp | T02 | Los trusted roles deben ser aceptados por la persona designada. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-17) | 401-general-tsp | T02 | El personal no debe acceder a las trusted functions hasta que se completen los chequeos necesarios. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-18) [CONDITIONAL] | 401-general-tsp | T02 | Cuando el personal trabaja en remoto, implementar medidas de ciberseguridad para proteger la información accedida fuera de las instalaciones. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-19) [CONDITIONAL] | 401-general-tsp | T02 | Si se permite trabajo remoto, emitir una política específica que defina condiciones y restricciones de ciberseguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-20) | 401-general-tsp | T02 | Verificar el background de empleados (y proveedores/contratistas cuando aplique) en la medida que sea factible y proporcional al rol. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-21) | 401-general-tsp | T02 | Establecer criterios para la verificación de background y realizarla antes de que las personas ejerzan los roles, considerando ley, ética y riesgos percibidos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-22) | 401-general-tsp | T02 | Revisar y actualizar la política de verificación de background al menos cada dos años. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-23) | 401-general-tsp | T02 | Asegurar que las responsabilidades de seguridad que sigan siendo válidas tras la terminación o cambio de empleo se definen y exigen contractualmente. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.2 (REQ-7.2-24) | 401-general-tsp | T02 | Incluir en los términos de empleo las responsabilidades válidas tras la terminación, como cláusulas de confidencialidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.1 (REQ-7.3.1-01) | 401-general-tsp | T03 | Garantizar un nivel adecuado de protección de los activos, incluyendo activos de información. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.1 (REQ-7.3.1-02) | 401-general-tsp | T03 | Los activos provistos a través de la cadena de suministro deben protegerse según §7.14. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-01) | 401-general-tsp | T03 | Mantener un inventario preciso de activos como prerrequisito de la gestión de vulnerabilidades técnicas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-02) | 401-general-tsp | T03 | Establecer un sistema de niveles de clasificación y asociar a cada activo un nivel basado en CIA y criticidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-03) | 401-general-tsp | T03 | Asignar nivel de clasificación a cada activo o grupo según requisitos de CIA, evaluación de riesgos y valor de negocio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-04) | 401-general-tsp | T03 | Asegurar que la disponibilidad clasificada de cada activo está alineada con los objetivos del plan de continuidad/recuperación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-05) | 401-general-tsp | T03 | Realizar revisiones periódicas de los niveles de clasificación y actualizarlos cuando proceda. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-06) | 401-general-tsp | T03 | Identificar, documentar e implementar reglas para el uso aceptable y el manejo de activos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-07) | 401-general-tsp | T03 | Implementar procedimientos de cambio/terminación que incluyan la devolución de los activos físicos y electrónicos confiados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-01) | 401-general-tsp | T03 | Establecer y aplicar una política de manejo de activos que cubra ciclo de vida, soportes extraíbles, uso/almacenamiento/transporte/destrucción seguros y transferencia segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-02) | 401-general-tsp | T03 | Manejar de forma segura los soportes de almacenamiento utilizados en los sistemas del TSP frente a daño, robo, acceso no autorizado y obsolescencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-03) | 401-general-tsp | T03 | Mantener un procedimiento de gestión de soportes durante el período de retención requerido (referencia a ISO/IEC 27002:2022 §7.10). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-04) | 401-general-tsp | T03 | Revisar y actualizar la política a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-05) | 401-general-tsp | T03 | Aplicar una política específica sobre soportes extraíbles que incluya prohibición técnica, deshabilitar autoejecución, escaneo de malware, controles en tránsito y cifrado cuando proceda. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-01) | 401-general-tsp | T03 | Establecer e implementar políticas de control de acceso lógico y físico que cubran personas, sistemas y autenticación adecuada. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-02) | 401-general-tsp | T03 | Administrar el acceso de operadores, administradores y auditores aplicando el principio de mínimo privilegio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-03) | 401-general-tsp | T03 | Configurar cuentas específicas para tareas administrativas (instalación, configuración, mantenimiento). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-04) | 401-general-tsp | T03 | Las cuentas privilegiadas se utilizan solo cuando sus privilegios son necesarios para la actividad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-05) | 401-general-tsp | T03 | Aplicar identificación, autenticación y autorización fuertes para cuentas privilegiadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-06) [CONDITIONAL] | 401-general-tsp | T03 | Cuando proceda, autenticar usuarios y dispositivos con MFA o autenticación continua antes de acceder a redes y SI del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-07) | 401-general-tsp | T03 | Aprovisionar, modificar, retirar y documentar derechos de acceso conforme a la política, con revisiones planificadas para cuentas privilegiadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-08) | 401-general-tsp | T03 | Asignar/revocar derechos basados en need-to-know, mínimo privilegio y separación de deberes; modificar tras cambio de empleo; gestionar acceso de terceros; mantener registro y aplicar logging. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-09) | 401-general-tsp | T03 | Restringir el acceso a las funciones del sistema de información y aplicaciones conforme a la política de acceso. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-10) | 401-general-tsp | T03 | Garantizar la separación de trusted roles mediante controles de seguridad informática, incluida la separación de la administración de seguridad y operación; restringir utilidades del sistema. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-11) | 401-general-tsp | T03 | Identificar y autenticar al personal antes de usar aplicaciones críticas relacionadas con el servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-12) | 401-general-tsp | T03 | El personal debe ser accountable de sus actividades (p. ej. mediante logs). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-13) | 401-general-tsp | T03 | Proteger los datos sensibles frente a su recuperación a través de objetos o soportes reutilizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-14) | 401-general-tsp | T03 | Revisar y actualizar las políticas de control de acceso a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-01) | 401-general-tsp | T03 | Mantener políticas de gestión de cuentas privilegiadas y de administración como parte de la política de acceso. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-02) | 401-general-tsp | T03 | Las políticas deben incluir MFA/autenticación fuerte, cuentas dedicadas a administración, individualización y restricción al máximo, y uso solo para conectarse a sistemas de administración. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-03) | 401-general-tsp | T03 | Revisar y documentar los derechos de acceso de cuentas privilegiadas a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.3 (REQ-7.4.3-01) | 401-general-tsp | T03 | Restringir y controlar el uso de los sistemas de administración. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.3 (REQ-7.4.3-02) | 401-general-tsp | T03 | Los sistemas de administración deben usarse solo para administración, separarse lógicamente del software no administrativo y protegerse mediante autenticación y cifrado. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-01) | 401-general-tsp | T03 | Gestionar el ciclo de vida completo de las identidades de redes, SI y sus usuarios. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-02) | 401-general-tsp | T03 | Para la gestión de identidades: identidades únicas, vincular usuarios a una persona, supervisión de identidades y logging de la gestión. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-03) | 401-general-tsp | T03 | Permitir identidades compartidas solo cuando sean necesarias y bajo proceso explícito de aprobación y documentación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-04) | 401-general-tsp | T03 | Considerar las identidades compartidas en el marco de gestión de ciberriesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-05) | 401-general-tsp | T03 | Revisar regularmente las identidades y desactivarlas sin demora cuando ya no sean necesarias. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-01) | 401-general-tsp | T03 | Implementar procedimientos y tecnologías de autenticación segura basados en restricciones de acceso y la política. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-02) | 401-general-tsp | T03 | La autenticación debe garantizar fortaleza acorde a la clasificación, gestión segura de credenciales, cambios periódicos, bloqueos por intentos fallidos, terminación de sesiones inactivas y separación de credenciales para cuentas privilegiadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-03) | 401-general-tsp | T03 | Utilizar, en la medida de lo posible, métodos de autenticación state-of-the-art acordes al riesgo y la clasificación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-04) | 401-general-tsp | T03 | Revisar los procedimientos y tecnologías de autenticación a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.6 (REQ-7.4.6-01) | 401-general-tsp | T03 | Garantizar la autenticación de usuarios según REQ-7.4.1-06 y REQ-7.4.5-02 a). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-01) | 401-general-tsp | T04 | Aplicar controles adecuados al ciclo de vida de claves, algoritmos y dispositivos criptográficos (referencia a ISO/IEC 27002:2022 §8.24). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-02) | 401-general-tsp | T04 | Establecer y aplicar una política/procedimiento de criptografía alineado con la clasificación de activos y el resultado del análisis de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-03) | 401-general-tsp | T04 | La política debe definir tipo/fortaleza/calidad de medidas, protocolos/algoritmos y enfoque completo de gestión de claves (generación, emisión, distribución, almacenamiento, cambio, compromiso, revocación, recuperación, backup, destrucción, logging, fechas de activación). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-04) | 401-general-tsp | T04 | Revisar y actualizar la política y procedimientos criptográficos a intervalos planificados, considerando el estado del arte. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-05) | 401-general-tsp | T04 | Seleccionar y usar técnicas criptográficas adecuadas conforme a estándares reconocidos (referencia a ETSI TS 119 312). | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-01) | 401-general-tsp | T05 | Controlar el acceso físico a los componentes críticos del sistema TSP y prevenir/reducir consecuencias de eventos físicos y ambientales (referencia a ISO/IEC 27002:2022 §7.x y §8.1). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-02) | 401-general-tsp | T05 | Limitar el acceso físico a componentes críticos a personas autorizadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-03) | 401-general-tsp | T05 | Implementar controles para evitar pérdida, daño o compromiso de activos e interrupciones. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-04) | 401-general-tsp | T05 | Implementar controles para evitar el compromiso o robo de información e instalaciones. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-05) | 401-general-tsp | T05 | Ubicar componentes críticos en un perímetro de seguridad protegido físicamente con control de accesos y alarmas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-06) | 401-general-tsp | T05 | Prevenir pérdidas, daños o interrupciones derivados del fallo de utilities. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (PRO-7.6-07) [CONDITIONAL] | 401-general-tsp | T05 | Para la protección de utilities: protección de fallos eléctricos, redundancia, protección frente a interceptación/daño, monitorización, contratos de emergencia y mantenimiento de electricidad/temperatura/comunicaciones. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-08) | 401-general-tsp | T05 | Probar, revisar y actualizar las medidas de protección de utilities tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-09) | 401-general-tsp | T05 | Prevenir o reducir consecuencias de amenazas físicas y ambientales (incluyendo desastres naturales) en función del análisis de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (PRO-7.6-10) [CONDITIONAL] | 401-general-tsp | T05 | Para protección frente a amenazas físicas y ambientales: diseñar medidas, definir umbrales mínimos/máximos, monitorizar y reportar excepciones. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-11) | 401-general-tsp | T05 | Probar, revisar y actualizar las medidas frente a amenazas físicas/ambientales tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-12) | 401-general-tsp | T05 | Establecer perímetros de seguridad para proteger las áreas donde se ubican redes/SI y activos asociados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-13) | 401-general-tsp | T05 | Monitorizar continuamente las instalaciones para detectar accesos físicos no autorizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.6 (REQ-7.6-14) | 401-general-tsp | T05 | Probar, revisar y actualizar las medidas de control de acceso físico tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-01) | 401-general-tsp | T06 | Utilizar sistemas y productos confiables, protegidos frente a modificaciones y que aseguren la seguridad técnica y fiabilidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-02) | 401-general-tsp | T06 | Realizar análisis de requisitos de seguridad en la fase de diseño/especificación de proyectos de desarrollo. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-03) | 401-general-tsp | T06 | Aplicar procedimientos de control de cambios para releases, modificaciones y parches de emergencia del software operacional. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-04) | 401-general-tsp | T06 | Documentar los cambios en los procedimientos de control. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-05) | 401-general-tsp | T06 | Proteger la integridad de los sistemas e información frente a virus, malware y software no autorizado. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-06) | 401-general-tsp | T06 | Establecer procedimientos para todos los trusted/administrative roles que impactan en el servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-07) | 401-general-tsp | T06 | Especificar y aplicar procedimientos para que los parches se apliquen en plazo razonable, no se apliquen si introducen vulnerabilidades, y se documente la decisión de no aplicar. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-08) | 401-general-tsp | T06 | Establecer, documentar, monitorizar y revisar las configuraciones de hardware, software, servicios y redes (incluida la configuración de seguridad). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-09) | 401-general-tsp | T06 | Monitorizar configuraciones con un conjunto comprensivo de herramientas de gestión. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-10) | 401-general-tsp | T06 | Revisar configuraciones regularmente para verificar parámetros, fortaleza de contraseñas y actividades. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-11) | 401-general-tsp | T06 | Establecer procesos para gestionar los riesgos de adquisición de servicios/productos ICT críticos basados en el análisis de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-12) | 401-general-tsp | T06 | Los procesos de adquisición deben incluir requisitos de seguridad, actualizaciones, descripción de componentes, funciones de ciberseguridad, garantía de cumplimiento y métodos de validación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-13) | 401-general-tsp | T06 | Revisar y actualizar los procesos al menos anualmente y tras incidentes significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-14) | 401-general-tsp | T06 | Antes de desarrollar redes/SI (incl. software), establecer reglas para el desarrollo seguro y aplicarlas en desarrollo interno o externalizado, cubriendo todas las fases. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-15) | 401-general-tsp | T06 | Para desarrollo seguro: análisis de requisitos, principios de ingeniería segura/zero-trust, requisitos del entorno, testing, gestión de datos de prueba y anonimización. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-16) | 401-general-tsp | T06 | Para desarrollo externalizado, aplicar también las políticas y procedimientos de proveedores y adquisición de productos/servicios ICT. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-17) | 401-general-tsp | T06 | Revisar y actualizar las reglas de desarrollo seguro a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-18) | 401-general-tsp | T06 | Aplicar procedimientos de gestión de cambios para controlar cambios en redes y SI, coherentes con las políticas generales de cambio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-19) | 401-general-tsp | T06 | Aplicar gestión de cambios a releases, modificaciones y emergencias en software/hardware y configuración, asegurando documentación, testeo y evaluación de impacto. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-20) | 401-general-tsp | T06 | Si no es posible seguir los procedimientos regulares de cambio por emergencia, documentar el resultado y la justificación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-21) | 401-general-tsp | T06 | Revisar y actualizar los procedimientos de gestión de cambios a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-22) | 401-general-tsp | T06 | Establecer y aplicar política y procedimientos de testing de seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-23) | 401-general-tsp | T06 | El testing de seguridad debe definir necesidad, alcance, frecuencia, tipo, metodología documentada, evaluación de criticidad y acciones mitigadoras. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-24) | 401-general-tsp | T06 | Revisar y actualizar las políticas de testing de seguridad a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-25) | 401-general-tsp | T06 | Especificar y aplicar procedimientos de parches alineados con cambio, vulnerabilidades y riesgos: aplicación oportuna, testeo previo, fuentes confiables, integridad y compensaciones cuando no aplican. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (PRO-7.7-26) [CONDITIONAL] | 401-general-tsp | T06 | El TSP puede no aplicar parches si las desventajas superan los beneficios; debe documentar y justificar la decisión. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-01) | 401-general-tsp | T06 | Proteger la red y los sistemas frente a ataques (referencia a ISO/IEC 27002:2022 §8.20-§8.23). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-02) | 401-general-tsp | T06 | Segmentar los sistemas en redes/zonas según el análisis de riesgos y separar los sistemas/redes de los de terceros. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-03) | 401-general-tsp | T06 | Aplicar los mismos controles a sistemas co-ubicados en una zona y conceder acceso a una red/zona conforme a su evaluación de seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-04) | 401-general-tsp | T06 | Restringir accesos y comunicaciones entre zonas y dentro de cada zona a las necesarias para la operación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-05) | 401-general-tsp | T06 | Prohibir o desactivar conexiones y servicios no necesarios; permitir solo el acceso de dispositivos autorizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-06) | 401-general-tsp | T06 | Revisar regularmente y tras incidentes el conjunto de reglas, segmentación y medidas de protección. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-07) | 401-general-tsp | T06 | Mantener todos los sistemas críticos para la operación del TSP en una o más zonas seguras. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-08) | 401-general-tsp | T06 | Separar la red dedicada a administración de IT y la red operacional, y segregar los canales de administración del resto del tráfico. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-09) | 401-general-tsp | T06 | Separar lógicamente los sistemas/redes de administración del resto y no usarlos para otros fines. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-10) | 401-general-tsp | T06 | Separar los sistemas de producción de los sistemas de desarrollo y test (incluyendo backups). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-11) | 401-general-tsp | T06 | Establecer comunicaciones entre sistemas confiables solo a través de canales aislados (lógica/criptográfica/físicamente) con identificación de extremos y protección de la integridad/confidencialidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-12) [CONDITIONAL] | 401-general-tsp | T06 | Si se requiere alta disponibilidad de acceso externo, asegurar redundancia de la conexión y desplegar una DMZ. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-13) | 401-general-tsp | T06 | Realizar escaneos regulares de vulnerabilidades sobre IPs públicas y privadas, registrando evidencia de la independencia y competencia del ejecutor. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-14) | 401-general-tsp | T06 | Realizar el escaneo de vulnerabilidades al menos trimestralmente. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-15) | 401-general-tsp | T06 | Monitorizar información sobre vulnerabilidades a través de CSIRTs, autoridades, proveedores y otros canales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-16) | 401-general-tsp | T06 | Proteger redes/SI frente a software malicioso con detección y eliminación, actualizadas al menos diariamente. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-17) | 401-general-tsp | T06 | Actualizar regularmente el software de detección de malware. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-18) | 401-general-tsp | T06 | Realizar pentests al instalar y tras cambios significativos en infraestructura/aplicaciones; abordar sin demora vulnerabilidades críticas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-19) | 401-general-tsp | T06 | Los pentests deben realizarse al menos anualmente; mitigar o documentar la justificación si no se mitiga. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-20) | 401-general-tsp | T06 | Registrar evidencia de la independencia y competencia de quien ejecuta el pentest. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-21) | 401-general-tsp | T06 | Proteger los dominios internos frente a accesos no autorizados (incluidos suscriptores y terceros) mediante firewalls u otros controles. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-22) | 401-general-tsp | T06 | Configurar los firewalls para impedir todos los protocolos y accesos no necesarios para la operación del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-23) | 401-general-tsp | T06 | Adoptar plan de implementación para protocolos de red de última generación, comunicaciones email seguras y mejores prácticas en seguridad DNS y enrutamiento. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-24) | 401-general-tsp | T06 | Documentar de forma comprensible y actualizada la arquitectura de red. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-01) | 401-general-tsp | T10 | Establecer mecanismos para detectar incidentes y permitir la monitorización y logging continuo de actividades en redes/SI (referencia a ISO/IEC 27002:2022 §8.16, §5.24-5.28, §6.8). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-02) | 401-general-tsp | T10 | La monitorización debe considerar la sensibilidad de la información recabada. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-03) | 401-general-tsp | T10 | Las actividades anómalas (incl. intrusiones) deben detectarse y reportarse como alarmas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-04) | 401-general-tsp | T10 | Mantener y revisar logs de tráfico, gestión de usuarios/permisos, accesos, autenticación, administración, cambios en ficheros críticos, eventos de seguridad, uso de recursos, accesos físicos y eventos ambientales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-05) | 401-general-tsp | T10 | Monitorizar los sistemas, incluida la revisión de audit logs, con mecanismos automáticos para procesar logs y alertar sobre eventos críticos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-06) | 401-general-tsp | T10 | Establecer procedimientos y herramientas para monitorizar y registrar actividades, detectar incidentes y mitigar el impacto. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-07) | 401-general-tsp | T10 | La monitorización debe automatizarse y realizarse continuamente o a intervalos en la medida de lo posible. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-08) | 401-general-tsp | T10 | Implementar la monitorización minimizando falsos positivos y negativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-09) | 401-general-tsp | T10 | Establecer una lista de activos sometidos a logging según la evaluación de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-10) | 401-general-tsp | T10 | Revisar regularmente los logs en busca de tendencias inusuales o no deseadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-11) | 401-general-tsp | T10 | Establecer valores adecuados para los umbrales de las alarmas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-12) [CONDITIONAL] | 401-general-tsp | T10 | Si se sobrepasan los umbrales, dispararse alarma automáticamente cuando proceda. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-13) | 401-general-tsp | T10 | Asegurar que ante una alarma se inicia una respuesta cualificada en plazo. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-14) | 401-general-tsp | T10 | Mantener y respaldar los logs un periodo predefinido y protegerlos frente a cambios o accesos no autorizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-15) | 401-general-tsp | T10 | Sincronizar las fuentes de tiempo de todos los sistemas para correlación de logs en la medida de lo posible. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-16) | 401-general-tsp | T10 | Mantener inventario de activos con logging y asegurar la redundancia de los sistemas de monitorización/logging. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-17) | 401-general-tsp | T10 | Establecer un sistema independiente para monitorizar la disponibilidad de los sistemas de monitorización/logging. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-18) | 401-general-tsp | T10 | Revisar y actualizar los procedimientos y la lista de activos a intervalos regulares y tras incidentes significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-01) | 401-general-tsp | T10 | Establecer e implementar una política de gestión de incidentes con roles, responsabilidades y procedimientos de detección, contención, respuesta, recuperación, documentación y reporte. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-02) | 401-general-tsp | T10 | Cumplir con las obligaciones de notificación de los marcos legislativos aplicables (DORA, CER, eIDAS art. 19a/24(2)(fb), CRA, DSA, DGA, NIS2, etc.). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-03) | 401-general-tsp | T10 | Informar a los stakeholders sobre incidentes según los planes de comunicación acordados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-04) | 401-general-tsp | T10 | Mantener planes de comunicación efectivos con categorización de incidentes, escalado y protocolos estandarizados de reporte. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-05) | 401-general-tsp | T10 | Asegurar que el personal cuenta con las competencias necesarias para detectar y responder a incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-06) | 401-general-tsp | T10 | Mantener documentación comprensiva durante todo el proceso de detección y respuesta. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-07) | 401-general-tsp | T10 | Establecer interfaces claras entre la gestión de incidentes y la continuidad de negocio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-08) | 401-general-tsp | T10 | Probar y revisar regularmente y tras incidentes los roles, responsabilidades y procedimientos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-09) | 401-general-tsp | T10 | Atender cualquier vulnerabilidad crítica no abordada previamente en un plazo de 48 horas tras su descubrimiento. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-10) [CHOICE] | 401-general-tsp | T10 | Para cualquier vulnerabilidad: implementar un plan de mitigación o documentar la base factual de no remediarla. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-11) | 401-general-tsp | T10 | Aplicar los procedimientos de reporte y respuesta para minimizar daños por incidentes y malfuncionamientos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-12) | 401-general-tsp | T10 | Designar personal en trusted role para hacer follow-up de alertas potencialmente críticas y reportar incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-13) | 401-general-tsp | T10 | La política de incidentes debe ser coherente con la continuidad y recuperación, e incluir categorización, planes de comunicación, asignación de roles y documentos operativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-14) | 401-general-tsp | T10 | Probar y revisar la política a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-15) | 401-general-tsp | T10 | Responder a incidentes según los procedimientos documentados y en plazo. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-16) | 401-general-tsp | T10 | Los procedimientos de respuesta deben incluir contención, erradicación y recuperación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-17) | 401-general-tsp | T10 | Establecer planes y procedimientos de comunicación con CSIRTs/autoridades y entre el personal del TSP y stakeholders externos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-18) | 401-general-tsp | T10 | Registrar las actividades de respuesta conforme a los procedimientos de monitorización/logging. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-19) | 401-general-tsp | T10 | Probar a intervalos planificados los procedimientos de respuesta. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-01) | 401-general-tsp | T10 | Notificar a las partes apropiadas las brechas de seguridad o pérdidas de integridad significativas en un plazo de 24 horas tras su identificación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-02) | 401-general-tsp | T10 | Notificar sin demora a la persona física o jurídica afectada cuando la brecha pueda perjudicarle. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-03) | 401-general-tsp | T10 | Establecer un procedimiento simple para que personal, contratistas y clientes reporten posibles incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-04) | 401-general-tsp | T10 | Comunicar el procedimiento de reporte a contratistas y clientes y formarles sobre cómo dirigirse al punto de contacto. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-05) | 401-general-tsp | T10 | Implementar un mecanismo simple para que empleados, proveedores y clientes reporten eventos sospechosos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (PRO-7.9.3-06) [CONDITIONAL] | 401-general-tsp | T10 | Si se implementa, comunicar el mecanismo a proveedores/clientes y formar regularmente a los empleados sobre su uso. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-07) | 401-general-tsp | T10 | Considerar significativo un incidente si cumple uno o más de los criterios listados (pérdidas financieras, exfiltración, daño a personas, indisponibilidad del servicio, accesos comprometidos, etc.). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-08) | 401-general-tsp | T10 | Las interrupciones programadas y sus consecuencias planificadas no se consideran incidentes significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-09) | 401-general-tsp | T10 | Para calcular usuarios impactados, considerar clientes con contrato y personas asociadas a clientes empresariales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-10) | 401-general-tsp | T10 | Considerar incidentes individuales no significativos como uno significativo si son recurrentes (≥2 en 6 meses, misma causa raíz y suman umbrales financieros). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-01) | 401-general-tsp | T10 | Analizar los eventos reportados y evaluar su severidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-02) | 401-general-tsp | T10 | Reevaluar y reclasificar eventos en función de nuevos inputs. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-03) | 401-general-tsp | T10 | Evaluar eventos sospechosos para determinar si constituyen incidentes y, en su caso, su naturaleza y severidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-04) | 401-general-tsp | T10 | Para la evaluación de eventos: realizar el análisis con criterios predefinidos y triage, evaluar recurrencias trimestralmente, revisar logs, correlación, y reclasificar con nueva información. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-01) | 401-general-tsp | T10 | Mantener informado al TSP sobre vulnerabilidades técnicas de los sistemas que utiliza. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-02) | 401-general-tsp | T10 | Evaluar la exposición a dichas vulnerabilidades y tomar medidas (referencia a ISO/IEC 27002:2022 §8.8). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-03) | 401-general-tsp | T10 | Identificar la causa raíz de cada incidente y realizar una post-incident review que pueda derivar en medidas para evitar la recurrencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-04) | 401-general-tsp | T10 | Asegurar que cada incidente pasado dio lugar a una post-incident review. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (PRO-7.9.5-05) | 401-general-tsp | T10 | Cuando proceda, realizar post-incident reviews tras la recuperación. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (PRO-7.9.5-06) | 401-general-tsp | T10 | Las post-incident reviews deben identificar la causa raíz cuando sea posible y producir lecciones aprendidas documentadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-07) | 401-general-tsp | T10 | Asegurar que las post-incident reviews contribuyen a mejorar la seguridad, las medidas de tratamiento de riesgos y los procedimientos de incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-08) | 401-general-tsp | T10 | Revisar a intervalos planificados si los incidentes condujeron efectivamente a post-incident reviews. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-01) | 401-general-tsp | T06 | Registrar y mantener accesible durante un periodo adecuado (incluso tras el cese) toda la información relevante para evidencia legal y continuidad del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-02) | 401-general-tsp | T06 | Mantener la confidencialidad e integridad de los registros de operación, actuales y archivados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-03) | 401-general-tsp | T06 | Archivar de forma completa y confidencial los registros de operación de servicios conforme a las prácticas declaradas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-04) | 401-general-tsp | T06 | Hacer disponibles los registros como evidencia ante procesos legales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-05) | 401-general-tsp | T06 | Registrar el momento preciso de los eventos significativos relativos a entorno, gestión de claves y sincronización del reloj del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-06) | 401-general-tsp | T06 | Sincronizar el reloj utilizado para los registros con UTC al menos una vez al día. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-07) | 401-general-tsp | T06 | Conservar los registros durante el tiempo establecido en los T&C del servicio (§6.2). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-08) | 401-general-tsp | T06 | Registrar los eventos de modo que no puedan eliminarse o destruirse fácilmente durante el periodo de retención (write-only, off-site, almacenamiento paralelo, etc.). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-01) | 401-general-tsp | T10 | Mantener copias de seguridad y recursos suficientes (incluyendo personal, instalaciones y SI) para asegurar redundancia conforme al análisis de riesgos y al plan de continuidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-02) | 401-general-tsp | T10 | En caso de desastre (incluido el compromiso de claves privadas o credenciales), restaurar las operaciones dentro del plazo establecido tras abordar las causas (referencia a ISO/IEC 27002:2022 §5.29-§5.30, §8.13). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-03) | 401-general-tsp | T10 | Asegurar disponibilidad mediante redundancia parcial al menos de redes/SI, activos, personal y canales de comunicación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-04) | 401-general-tsp | T10 | Documentar los resultados de las pruebas y aplicar acciones correctivas cuando proceda. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-01) | 401-general-tsp | T10 | Mantener un plan de backup y actualizarlo regularmente. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-02) | 401-general-tsp | T10 | El plan de backup debe contemplar tiempos de recuperación, integridad y completitud, almacenamiento off-site, controles físicos/lógicos, procesos de restauración con aprobación y períodos de retención. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-03) | 401-general-tsp | T10 | Realizar comprobaciones regulares de integridad sobre las copias. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-04) | 401-general-tsp | T10 | Probar a intervalos planificados la recuperación de copias y redundancias y aplicar acciones correctivas; documentar los resultados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (PRO-7.11.2-05) | 401-general-tsp | T10 | Cuando proceda, asegurar que la monitorización y ajuste de recursos refleja debidamente las necesidades de backup y redundancia. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-06) | 401-general-tsp | T10 | Realizar pruebas regulares de recuperación de backups y redundancias para confirmar que pueden ser fiables en condiciones reales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-01) | 401-general-tsp | T10 | Establecer procesos de gestión de crisis que cubran roles, comunicación con autoridades competentes y aplicación de controles para mantener seguridad de redes/SI en crisis. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-02) | 401-general-tsp | T10 | Implementar un proceso para gestionar y aprovechar la información recibida del CSIRT nacional (o autoridades competentes) sobre incidentes, vulnerabilidades, amenazas o medidas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-03) | 401-general-tsp | T10 | Probar y revisar el plan de gestión de crisis a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-04) | 401-general-tsp | T10 | Actualizar el plan de gestión de crisis tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-01) | 401-general-tsp | T10 | Minimizar las disrupciones a suscriptores y relying parties como consecuencia del cese, manteniendo en particular la información necesaria para verificar la corrección de los servicios. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-02) | 401-general-tsp | T10 | Disponer de un plan de cese actualizado. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-03) | 401-general-tsp | T10 | Antes del cese, informar a suscriptores, otras entidades con relación contractual y autoridades como el supervisor. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-04) | 401-general-tsp | T10 | Antes del cese, hacer disponible la información del cese a otras relying parties. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-05) | 401-general-tsp | T10 | Antes del cese, retirar la autorización a todos los subcontratistas que actúen en nombre del TSP en la emisión de tokens. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-06) | 401-general-tsp | T10 | Antes del cese, transferir las obligaciones a una parte fiable para mantener accesible la información necesaria como evidencia, salvo que pueda demostrarse que el TSP no la posee. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-07) | 401-general-tsp | T10 | Antes del cese, destruir o retirar de uso las claves privadas del TSP (incluidas las copias de seguridad) de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-08) | 401-general-tsp | T10 | Antes del cese, en lo posible, gestionar la transferencia de la prestación de los servicios a otro TSP. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-09) | 401-general-tsp | T10 | Disponer de un acuerdo para cubrir los costes mínimos del cese en caso de quiebra u otra causa que impida cubrirlos por sí mismo, en lo posible dentro de la legislación aplicable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-10) | 401-general-tsp | T10 | Indicar en las prácticas las disposiciones del cese, incluyendo notificación a entidades afectadas y, en su caso, transferencia de obligaciones a otras partes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-11) | 401-general-tsp | T10 | Mantener o transferir a una parte fiable la obligación de hacer disponibles a relying parties la clave pública o los tokens del TSP durante un periodo razonable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-01) | 401-general-tsp | T01 | El TSP debe operar de forma legal y confiable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-02) | 401-general-tsp | T01 | Aportar evidencia de cómo se cumplen los requisitos legales aplicables. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-03) | 401-general-tsp | T01 | Hacer accesibles los servicios y productos finales a personas con discapacidad cuando sea factible. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-04) | 401-general-tsp | T01 | Tener en cuenta las normas de accesibilidad aplicables (referencia a ETSI EN 301 549). | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-05) | 401-general-tsp | T01 | Aplicar medidas técnicas y organizativas adecuadas frente al tratamiento no autorizado/ilegal de datos personales y frente a la pérdida o destrucción accidental (referencia a Reglamento (UE) 2016/679 — RGPD; ISO/IEC 27701:2019). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-06) | 401-general-tsp | T01 | Disponer de un sistema efectivo de reporte de cumplimiento adecuado a la estructura/entorno y capaz de informar a la dirección sobre el estado de gestión de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-01) | 401-general-tsp | T11 | Establecer y aplicar una política de seguridad de la cadena de suministro que regule las relaciones con proveedores directos para mitigar riesgos a redes/SI y comunicarla. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-02) | 401-general-tsp | T11 | Definir e implementar procesos para gestionar los riesgos de los productos/servicios de proveedores, incluyendo criterios de selección y contratación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-03) | 401-general-tsp | T11 | La política debe identificar y comunicar el rol del TSP en la cadena. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-04) | 401-general-tsp | T11 | Definir criterios de selección de proveedores (prácticas de ciberseguridad, capacidad para cumplir requisitos, calidad/resiliencia ICT, diversificación de origen y resultados de evaluaciones coordinadas). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-05) | 401-general-tsp | T11 | Revisar la política y monitorizar a los proveedores a intervalos planificados y tras cambios/incidentes significativos en sus prácticas de ciberseguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-06) | 401-general-tsp | T11 | Para monitorizar a proveedores: monitorizar SLAs, revisar incidentes, evaluar la necesidad de revisiones no planificadas y analizar riesgos de cambios en productos/servicios ICT. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-01) | 401-general-tsp | T11 | Definir e implementar procesos para gestionar los riesgos de seguridad de los productos/servicios ICT a través de la cadena de suministro. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-02) | 401-general-tsp | T11 | Definir requisitos de seguridad para la adquisición de productos/servicios ICT. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-03) | 401-general-tsp | T11 | Exigir a los proveedores de servicios ICT propagar los requisitos de seguridad a sus subcontratistas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-04) | 401-general-tsp | T11 | Exigir a los proveedores de productos ICT propagar prácticas de seguridad a otros proveedores cuyos componentes incorporen. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-05) | 401-general-tsp | T11 | Solicitar a los proveedores de productos ICT información sobre los componentes software incluidos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-06) | 401-general-tsp | T11 | Solicitar a los proveedores información sobre las funciones de seguridad implementadas y la configuración requerida para su operación segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-07) | 401-general-tsp | T11 | Implementar un proceso de monitorización y métodos aceptables de validación de la conformidad de los productos/servicios ICT con los requisitos de ciberseguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-08) | 401-general-tsp | T11 | Implementar un proceso para identificar y documentar los componentes de productos o servicios críticos para mantener la funcionalidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-09) | 401-general-tsp | T11 | Obtener garantía de que los componentes críticos y su origen pueden trazarse a través de la cadena de suministro. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-10) | 401-general-tsp | T11 | Obtener garantía de que los productos ICT entregados funcionan según lo esperado, sin características inesperadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-11) | 401-general-tsp | T11 | Implementar procesos para verificar que los componentes provenientes de proveedores son genuinos y no han sido alterados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-12) | 401-general-tsp | T11 | Definir reglas para compartir información sobre la cadena de suministro y posibles incidencias entre el TSP y sus proveedores. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-13) | 401-general-tsp | T11 | Implementar procesos específicos para gestionar el ciclo de vida y disponibilidad de los componentes ICT (referencia a ISO/IEC 27002:2022 §5.21). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-14) | 401-general-tsp | T11 | Monitorizar, revisar, evaluar y gestionar regularmente los cambios en las prácticas de seguridad y entrega de los proveedores. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-15) | 401-general-tsp | T11 | Definir, implementar y comunicar políticas específicas sobre el uso de servicios cloud y sobre la gestión de los riesgos de seguridad asociados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-01) [CONDITIONAL] | 401-general-tsp | T11 | Cuando el TSP recurre a otras partes (incluyendo subcontratación o outsourcing) mantiene la responsabilidad global de la conformidad con la política de cadena de suministro, la de seguridad y la del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-02) | 401-general-tsp | T11 | Definir la responsabilidad de los outsourcers y asegurar que están obligados a aplicar los controles requeridos por el TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-03) | 401-general-tsp | T11 | Los procesos deben incluir las acciones del TSP, las exigidas al proveedor para iniciar el uso de sus productos/servicios y las exigidas para terminarlo. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-04) | 401-general-tsp | T11 | Mantener acuerdos contractuales documentados que clarifiquen las obligaciones de seguridad de cada parte cuando la prestación implique subcontratación, outsourcing u otros acuerdos con terceros. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-05) [CONDITIONAL] | 401-general-tsp | T11 | Cuando el TSP utilice un componente de servicio confiable provisto por otra parte, asegurar que el uso de la interfaz cumple con los requisitos especificados por el proveedor del componente. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.1 OVR-5.1-01 | 421-qtsa-policy | T07 | El TSA puede definir su propia política que mejore la BTSP definida en el documento. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §5.1 OVR-5.1-02 | 421-qtsa-policy | T07 | [CONDITIONAL] Si el TSA define política propia, ésta debe incorporar o restringir más los requisitos de la BTSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.1 OVR-5.1-03 | 421-qtsa-policy | T07 | [CONDITIONAL] Si la exactitud declarada es mejor de 1 segundo, debe indicarse en el TSA disclosure statement y en cada sello emitido con esa exactitud. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.2 OVR-5.2-01 | 421-qtsa-policy | T07 | Incluir el identificador (OID) de las políticas soportadas en el TSA disclosure statement disponible para suscriptores y RP. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.2 OVR-5.2-01A | 421-qtsa-policy | T07 | Soportar e incluir el identificador BTSP en la política de tiempo y en el disclosure statement como prueba de conformidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.2 OVR-5.2-02 | 421-qtsa-policy | T07 | [CONDITIONAL] Si se usan identificadores adicionales/propios, indicar todos ellos junto con el OID BTSP en la política y disclosure statement. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.3.1 OVR-5.3-01 | 421-qtsa-policy | T07 | La BTSP puede usarse para servicios públicos o dentro de comunidades cerradas. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.1 OVR-6.1-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 5 (risk assessment) — sin requisitos adicionales. Ver matriz 401. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 6.1 (TSPS) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-02 | 421-qtsa-policy | T01 | El TSPS especificará al menos: a) algoritmo(s) de hash; b) exactitud respecto a UTC; c) limitaciones de uso; d) obligaciones de suscriptores; e) obligaciones de RP; f) cómo verificar el sello y limitaciones de validez; g) reclamaciones de cumplimiento bajo derecho nacional. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-03 | 421-qtsa-policy | T01 | El TSA debería incluir información sobre disponibilidad del servicio (MTBF, MTTR, recuperación). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-04 | 421-qtsa-policy | T01 | El disclosure statement puede crearse según plantilla del Anexo B. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-05 | 421-qtsa-policy | T01 | El disclosure statement puede formar parte del acuerdo con suscriptor/RP. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-06 | 421-qtsa-policy | T01 | El disclosure statement puede incluirse en el TSA practice statement si es visible al lector. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.3 OVR-6.3-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 6.2 (Terms and conditions). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.4 OVR-6.4-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 6.3 (Information security policy). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.5.1 OVR-6.5-01 | 421-qtsa-policy | T04 | El TSA debe cumplir cualquier obligación adicional indicada en el sello, directamente o por referencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.6 OVR-6.6-01 | 421-qtsa-policy | T01 | Los términos y condiciones a RP incluirán la obligación de: a) verificar firma del sello y no compromiso de la clave hasta el momento de verificación; b) tener en cuenta limitaciones de uso del sello; c) considerar otras precauciones acordadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.1 (Internal organization). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-02 | 421-qtsa-policy | T01 | El TSA debe ser una entidad legal según ley nacional. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-03 | 421-qtsa-policy | T01 | El TSA debe contar con sistema(s) de gestión de calidad y seguridad de la información apropiados para el servicio de sellado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-04 | 421-qtsa-policy | T01 | Personal suficiente con educación, formación, conocimientos técnicos y experiencia adecuados al volumen del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.3 OVR-7.3-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.2 (Personnel security) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.4 OVR-7.4-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.3 (Asset management) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.5 OVR-7.5-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.4 (Access control) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.1 OVR-7.6-01 | 421-qtsa-policy | T04 | Aplica EN 319 401 cl. 7.5 (Cryptographic controls) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-01 | 421-qtsa-policy | T04 | Generación de claves de firma del TSU en entorno físicamente seguro, por personal en roles de confianza, bajo control dual como mínimo. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-02 | 421-qtsa-policy | T04 | Limitar el personal autorizado a la generación de claves a los estrictamente necesarios según prácticas del TSA. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-03 | 421-qtsa-policy | T04 | Generar las claves de firma del TSU dentro de dispositivo criptográfico seguro: a) sistema fiable evaluado a EAL 4 o superior según ISO/IEC 15408 con perfil/ST adecuado; o b) ISO/IEC 19790, FIPS 140-2 nivel 3 o FIPS 140-3 nivel 3. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-04 | 421-qtsa-policy | T04 | El dispositivo criptográfico seguro debería estar evaluado conforme a TIS-7.6.2-03 a). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-05 | 421-qtsa-policy | T04 | El algoritmo, longitud y algoritmo de firma para claves del TSU y para los certificados públicos del TSU deberían cumplir ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-06 | 421-qtsa-policy | T04 | La clave de firma del TSU no debería importarse a diferentes dispositivos criptográficos seguros. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-07 | 421-qtsa-policy | T04 | [CONDITIONAL] Si la misma clave existe en varios dispositivos, todos deben asociarse al mismo certificado público en todos ellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-08 | 421-qtsa-policy | T04 | El TSA debe tener una única clave de firma de sellos activa simultáneamente. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-01 | 421-qtsa-policy | T04 | Mantener integridad y confidencialidad de las claves privadas del TSU con los requisitos siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-02 | 421-qtsa-policy | T04 | Mantener y usar la clave privada del TSU dentro de dispositivo criptográfico seguro: a) EAL 4+ según ISO/IEC 15408; o b) ISO/IEC 19790, FIPS 140-2 nivel 3 o FIPS 140-3 nivel 3. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-03 | 421-qtsa-policy | T04 | El dispositivo criptográfico seguro debería estar evaluado conforme a TIS-7.6.3-02 a). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-04 | 421-qtsa-policy | T04 | Si se hace backup de claves privadas del TSU, copia/almacenamiento/recuperación bajo control dual y entorno físico seguro por roles de confianza. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-05 | 421-qtsa-policy | T04 | Limitar al mínimo el personal autorizado a operaciones de backup. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-06 | 421-qtsa-policy | T04 | Las copias de respaldo deben proteger integridad y confidencialidad mediante el dispositivo criptográfico seguro antes de almacenarse fuera de él. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-01 | 421-qtsa-policy | T04 | El TSA debe garantizar integridad y autenticidad de la clave pública (de verificación) del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-02 | 421-qtsa-policy | T04 | La clave pública del TSU debe estar disponible a RP en un certificado de clave pública. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-03 | 421-qtsa-policy | T04 | El certificado de clave pública del TSU debería ser emitido por una CA operando bajo ETSI EN 319 411-1. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-04 | 421-qtsa-policy | T04 | El TSU no emitirá sellos antes de cargar su certificado de verificación en el TSU o su dispositivo criptográfico. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-05 | 421-qtsa-policy | T04 | [CONDITIONAL] Al obtener un certificado de verificación, el TSA debería verificar que está correctamente firmado (incl. cadena hasta CA confiable). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.5 TIS-7.6.5-01 | 421-qtsa-policy | T04 | El periodo de validez del certificado del TSU no excederá el periodo en que el algoritmo y longitud de clave se consideran adecuados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-01 | 421-qtsa-policy | T04 | El hardware de firma de sellos no debe ser manipulado durante el envío. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-02 | 421-qtsa-policy | T04 | El hardware de firma no debe ser manipulado mientras está almacenado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-03 | 421-qtsa-policy | T04 | Instalación, activación y duplicación de claves de firma del TSU sólo por roles de confianza, control dual y entorno físico seguro. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-04 | 421-qtsa-policy | T04 | Las claves privadas del TSU en el dispositivo criptográfico deben borrarse al retirarlo, de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-01 | 421-qtsa-policy | T04 | El TSA debe definir fecha de expiración para las claves del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-02 | 421-qtsa-policy | T04 | La fecha de expiración de la clave privada del TSU no será posterior al `notAfter` del certificado público asociado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-03 | 421-qtsa-policy | T04 | La fecha de expiración debería tener en cuenta el "recommended key sizes versus time" de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-04 | 421-qtsa-policy | T04 | Para permitir verificación posterior, la validez de la clave privada del TSU será más corta que la del certificado público asociado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-05 | 421-qtsa-policy | T04 | La fecha de expiración puede definirse al inicializar el dispositivo o mediante la extensión `privateKeyUsagePeriod` en el certificado del TSU. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-06 | 421-qtsa-policy | T04 | Las claves privadas del TSU no deben usarse más allá de su fecha de expiración. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-07 | 421-qtsa-policy | T04 | Procedimientos operativos/técnicos para que un nuevo par de claves esté disponible cuando una clave privada del TSU esté próxima a expirar. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-08 | 421-qtsa-policy | T04 | Las claves privadas expiradas (o cualquier copia) deben destruirse de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-09 | 421-qtsa-policy | T04 | El TSA debe especificar la fecha de expiración de las claves del TSU en su política o practice statement, incluyendo procedimientos para cumplir esta cláusula. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-01 | 421-qtsa-policy | T07 | Los sellos deben conformar al perfil definido en ETSI EN 319 422. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-02 | 421-qtsa-policy | T07 | Los sellos deben ser emitidos de manera segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-03 | 421-qtsa-policy | T07 | Los sellos deben incluir el tiempo correcto. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-04 | 421-qtsa-policy | T07 | El tiempo del TSU debe ser trazable a al menos un valor de tiempo real distribuido por un laboratorio UTC(k). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-05 | 421-qtsa-policy | T07 | El tiempo en el sello debe estar sincronizado con UTC (ITU-R TF.460-6) dentro de la exactitud definida en la política. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-06 | 421-qtsa-policy | T07 | [CONDITIONAL] Si la exactitud se incluye en el sello, el tiempo debe estar sincronizado dentro de esa exactitud. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-07 | 421-qtsa-policy | T07 | [CONDITIONAL] Si se detecta que el reloj está fuera de la exactitud declarada, no se deben emitir sellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-08 | 421-qtsa-policy | T07 | El sello debe firmarse con una clave generada exclusivamente para ese propósito. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-09 | 421-qtsa-policy | T07 | El sistema de generación de sellos debe rechazar cualquier intento de emisión cuando se ha alcanzado la fecha de expiración de la clave privada del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-01 | 421-qtsa-policy | T07 | El reloj del TSU debe sincronizarse con UTC dentro de la exactitud declarada según los requisitos siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-02 | 421-qtsa-policy | T07 | Calibrar los relojes del TSU para que no deriven fuera de la exactitud declarada. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-03 | 421-qtsa-policy | T07 | La exactitud declarada debe ser de 1 segundo o mejor. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-04 | 421-qtsa-policy | T07 | Proteger el reloj del TSU frente a amenazas que puedan provocar cambios no detectados (manipulación, descargas eléctricas, RF). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-05 | 421-qtsa-policy | T07 | El TSA debe detectar derivas o saltos del reloj del TSU fuera de sincronización con UTC. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-06 | 421-qtsa-policy | T07 | [CONDITIONAL] Si se detecta deriva o salto fuera de sincronía con UTC, el TSU debe detener la emisión de sellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-07 | 421-qtsa-policy | T07 | Mantener la sincronización cuando ocurra un segundo intercalar (leap second) notificado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-08 | 421-qtsa-policy | T07 | El cambio para reflejar el leap second debe ocurrir en el último minuto del día programado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-09 | 421-qtsa-policy | T07 | Mantener registro del momento exacto (dentro de la exactitud declarada) en que ocurrió el cambio referido en TIS-7.7.2-08. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.6 (Physical and environmental security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-02 | 421-qtsa-policy | T01 | Aplicar controles de acceso al dispositivo criptográfico seguro acordes con cl. 7.6. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-03 | 421-qtsa-policy | T01 | Operar las instalaciones de gestión del sellado en entorno que protege física y lógicamente el servicio frente a accesos no autorizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-04 | 421-qtsa-policy | T01 | Toda entrada al área físicamente segura sujeta a supervisión independiente. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-05 | 421-qtsa-policy | T01 | Personas no autorizadas deben ir acompañadas en el área segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-06 | 421-qtsa-policy | T01 | Registrar todas las entradas y salidas del área físicamente segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-07 | 421-qtsa-policy | T01 | Crear perímetros físicos de seguridad alrededor de la gestión del sellado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-08 | 421-qtsa-policy | T01 | Las áreas compartidas con terceros deben quedar fuera del perímetro. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-09 | 421-qtsa-policy | T01 | Los controles físicos y ambientales protegerán las instalaciones, recursos y soportes del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-10 | 421-qtsa-policy | T01 | La política físico-ambiental debe abordar al menos: control de acceso, desastres naturales, fuego, fallos de utilities, colapso, fugas, robo y recuperación de desastres. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-11 | 421-qtsa-policy | T01 | Controles que impidan la salida no autorizada de equipos, información, soportes y software. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-12 | 421-qtsa-policy | T01 | Otras funciones pueden compartir el área segura siempre que el acceso quede limitado al personal autorizado. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.9 OVR-7.9-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.7 (Operation security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.9 OVR-7.9-02 | 421-qtsa-policy | T01 | Monitorizar la demanda de capacidad y proyectar requisitos futuros para asegurar potencia y almacenamiento adecuados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.8 (Network security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-02 | 421-qtsa-policy | T01 | Mantener todos los sistemas TSU en zona segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-03 | 421-qtsa-policy | T01 | Configurar los sistemas TSU eliminando o deshabilitando cuentas, aplicaciones, servicios, protocolos y puertos no usados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-04 | 421-qtsa-policy | T01 | Sólo roles de confianza pueden acceder a zonas seguras y de alta seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.11 OVR-7.11-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.9 (Incident management) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.10 (Collection of evidence) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-02 | 421-qtsa-policy | T01 | Registrar todos los eventos del ciclo de vida de claves del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-03 | 421-qtsa-policy | T01 | Registrar todos los eventos del ciclo de vida de los certificados del TSU (si aplica). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-04 | 421-qtsa-policy | T01 | Registrar todos los eventos relativos a sincronización del reloj del TSU con UTC. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-05 | 421-qtsa-policy | T01 | Los registros incluirán información sobre re-calibraciones o sincronizaciones normales del reloj. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-06 | 421-qtsa-policy | T01 | Registrar todos los eventos relativos a detección de pérdida de sincronización. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.11 (Business continuity) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-02 | 421-qtsa-policy | T01 | El plan DRP del TSA debe abordar el compromiso o sospecha de compromiso de claves privadas del TSU o pérdida de calibración del reloj. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-03 | 421-qtsa-policy | T01 | [CONDITIONAL] En caso de compromiso, sospecha o pérdida de calibración al emitir sellos, el TSA pondrá a disposición de suscriptores y RP una descripción del compromiso ocurrido. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-04 | 421-qtsa-policy | T01 | [CONDITIONAL] En caso de compromiso de un TSU (p. ej. compromiso de clave), sospecha o pérdida de calibración, el TSU no debe emitir sellos hasta recuperarse del compromiso. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-05 | 421-qtsa-policy | T01 | [CONDITIONAL] En caso de compromiso mayor o pérdida de calibración, el TSA pondrá a disposición de suscriptores y RP información que permita identificar los sellos posiblemente afectados (salvo que afecte a privacidad/seguridad). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.14 OVR-7.14-01 | 421-qtsa-policy | T05 | Aplica EN 319 401 cl. 7.12 (TSP termination) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.14 OVR-7.14-02 | 421-qtsa-policy | T05 | [CONDITIONAL] Al terminar servicios, el TSA debe revocar todos los certificados de TSU no expirados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.14 OVR-7.14-03 | 421-qtsa-policy | T05 | [CONDITIONAL] Al terminar servicios, las claves privadas del TSU (incluidas copias) deben destruirse de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.14 OVR-7.14-04 | 421-qtsa-policy | T05 | [CONDITIONAL] Al terminar servicios, los TSU terminados no deben generar nuevos pares de claves ni emitir nuevos sellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.15 OVR-7.15-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.13 (Compliance) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.16 OVR-7.16-01 | 421-qtsa-policy | T01 | Aplica EN 319 401 cl. 7.14 (Supply chain) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §8.1 TIS-8.1-01 | 421-qtsa-policy | T07 | [CONDITIONAL] Si el sello se declara cualificado conforme a 910/2014, el certificado de verificación del TSU debe emitirse conforme a la política NCP+ definida en ETSI EN 319 411-1. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §8.1 TIS-8.1-02 | 421-qtsa-policy | T07 | [CONDITIONAL] Si el sello se declara cualificado, el certificado debería emitirse conforme a una política de certificado adecuada de ETSI EN 319 411-2. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §8.2 TIS-8.2-01 | 421-qtsa-policy | T07 | [CONDITIONAL] Un TSU que emita sellos cualificados conforme a 910/2014 no debe emitir sellos no cualificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §8.2 TIS-8.2-02 | 421-qtsa-policy | T07 | [CONDITIONAL] Un TSA que emita sellos cualificados y no cualificados debe usar TSU diferentes identificados por subject names distintos en el certificado público. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §8.2 TIS-8.2-03 | 421-qtsa-policy | T07 | [CONDITIONAL] Un TSA que emita sellos cualificados y no cualificados debe usar TSU accesibles a través de puntos de acceso al servicio separados. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §4.1.1 | 422-qtsa-protocol | T07 | El cliente de sellado debe soportar la petición conforme a IETF RFC 3161 cl. 2.4.1 con las modificaciones de las cláusulas siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §4.1.2 | 422-qtsa-protocol | T07 | El cliente debería soportar los campos `reqPolicy`, `nonce` y `certReq` en la petición. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §4.1.3 | 422-qtsa-protocol | T07 | Los algoritmos de hash usados para hashear los datos a sellar deberían ser los especificados en cl. A.8 de ETSI TS 119 312, considerando duración esperada del sello vs cl. 9.2 de TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §4.2.1 | 422-qtsa-protocol | T07 | El cliente debe soportar la respuesta conforme a IETF RFC 3161 cl. 2.4.2 con las modificaciones siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §4.2.2 (a) | 422-qtsa-protocol | T07 | El cliente debe soportar el campo `accuracy`. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §4.2.2 (b) | 422-qtsa-protocol | T07 | El cliente debería soportar el campo `nonce`. Si la petición incluyó nonce, la respuesta debe incluirlo con el mismo valor. | Recomendada / Obligatoria si nonce presente | TBD | TBD | — | — |
| EN 319 422 §4.2.2 (c) | 422-qtsa-protocol | T07 | El cliente no debería depender de un orden de los sellos (un TSU no necesita soportar `ordering`). | Recomendada | TBD | TBD | — | — |
| EN 319 422 §4.2.3 | 422-qtsa-protocol | T07 | Los algoritmos de firma del token soportados deberían ser los especificados en cl. A.8 de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §4.2.4 | 422-qtsa-protocol | T07 | Las longitudes de clave para el algoritmo de firma seleccionado deberían soportarse según cl. 9.3 de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §5.1.1 | 422-qtsa-protocol | T07 | El servidor TSA debe soportar la petición conforme a IETF RFC 3161 cl. 2.4.1 con las modificaciones siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.1.2 (a) | 422-qtsa-protocol | T07 | El servidor debe soportar el campo `reqPolicy`. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.1.2 (b) | 422-qtsa-protocol | T07 | El servidor debe soportar el campo `nonce`. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.1.2 (c) | 422-qtsa-protocol | T07 | El servidor debe soportar el campo `certReq`. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.1.3 | 422-qtsa-protocol | T07 | Los algoritmos de hash a soportar para los datos a sellar deberían ser los de cl. A.8 de ETSI TS 119 312, teniendo en cuenta la duración esperada del sello. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §5.2.1 | 422-qtsa-protocol | T07 | El servidor debe soportar la respuesta conforme a IETF RFC 3161 cl. 2.4.2 con las modificaciones siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.2.2 (a) | 422-qtsa-protocol | T07 | El campo `policy` debe estar presente como identificador de la política de sellado y conformar al Anexo A. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.2.2 (b) | 422-qtsa-protocol | T07 | El campo `genTime` debe tener un valor con precisión suficiente para soportar la exactitud declarada. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.2.2 (c) | 422-qtsa-protocol | T07 | El campo `accuracy` debe estar presente y debe soportar al menos una exactitud mínima de 1 segundo. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.2.2 (d) | 422-qtsa-protocol | T07 | El campo `ordering` no debe estar presente o debe estar a `false`. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.2.2 (e) | 422-qtsa-protocol | T07 | Ninguna extensión del token debe marcarse como crítica. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.2.2 (f) | 422-qtsa-protocol | T07 | El identificador del certificado del TSU (`ESSCertID` de RFC 3161 o `ESSCertIDv2` de RFC 5816) debe incluirse como atributo `signerInfo` dentro de `SigningCertificate` o `SigningCertificateV2`. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §5.2.3 | 422-qtsa-protocol | T07 | Los algoritmos de hash y de firma del token deberían ajustarse a cl. A.8 de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §6.1 | 422-qtsa-protocol | T04 | El certificado del TSU debe cumplir ETSI EN 319 412-2 (TSA persona física) o ETSI EN 319 412-3 (TSA persona jurídica), con las modificaciones de las cláusulas siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.2 (a) | 422-qtsa-protocol | T04 | El atributo `countryName` debe especificar el país donde el TSA está establecido (no necesariamente el país del TSU). | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.2 (b) | 422-qtsa-protocol | T04 | Para TSA persona jurídica (o física asociada a jurídica), `organizationName` debe contener el nombre completo registrado del TSA responsable de gestionar el TSU; debería ser el nombre oficialmente registrado. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.2 (c) | 422-qtsa-protocol | T04 | El `commonName` especifica un identificador del TSU. Dentro del TSA, `commonName` identifica unívocamente al TSU usado. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.2 (d) | 422-qtsa-protocol | T04 | Para TSA persona física, debería incluirse una instancia del atributo `serialNumber` en el subject. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §6.3 | 422-qtsa-protocol | T04 | La longitud de clave para el algoritmo de firma del certificado del TSU debería ajustarse a cl. 9.3 de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §6.4 (a) | 422-qtsa-protocol | T04 | El `extendedKeyUsage` del certificado TSU debe ser el definido en IETF RFC 3161, cl. 2.3 (id-kp-timeStamping, único, marcado crítico). | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.4 (b) | 422-qtsa-protocol | T04 | La extensión `privateKeyUsagePeriod` debería usarse para limitar la validez de la clave de firma del TSU. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §6.5 | 422-qtsa-protocol | T04 | La clave pública del TSU y la firma del certificado deberían usar los algoritmos especificados en cl. A.9 de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §7 (a) | 422-qtsa-protocol | T07 | Cliente y servidor de sellado deben soportar el protocolo sobre HTTP (RFC 7230-7235) o HTTPS (RFC 2818) según cl. 3.4 de IETF RFC 3161. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §7 (b) | 422-qtsa-protocol | T07 | Debería usarse HTTPS en lugar de HTTP. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §8 | 422-qtsa-protocol | T07 | Los OID para los algoritmos de hashing y firma recomendados se especifican en cl. 11 de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §9.1 (a) | 422-qtsa-protocol | T04 | [CONDITIONAL] Si el token se declara sello cualificado conforme a 910/2014, debería contener la extensión `qcStatements` en el campo `extension` del TST con la sintaxis de IETF RFC 3739, cl. 3.2.6. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §9.1 (b) | 422-qtsa-protocol | T04 | [CONDITIONAL] Si la extensión `qcStatements` está presente, debe contener una instancia del statement `esi4-qtstStatement-1` definido en el Anexo B (OID `id-etsi-tsts-EuQCompliance`). | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §9.1 (c) | 422-qtsa-protocol | T04 | La extensión `qcStatements` no debe marcarse como crítica. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 Anexo A | 422-qtsa-protocol | T07 | Cuando el TST es emitido por un TSA conforme a EN 319 421, el campo `policy` del TSTInfo debe incluir el identificador de cl. 5.2 de EN 319 421 (BTSP), o el identificador propio del TSA cuando éste incorpore o restrinja la política BTSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 Anexo B | 422-qtsa-protocol | T07 | OIDs definidos: `id-etsi-tsts` = `{itu-t(0) identified-organization(4) etsi(0) id-tst-profile(19422) 1}`; `id-etsi-tsts-EuQCompliance` = `{id-etsi-tsts 1}`; statement `esi4-qtstStatement-1`. La inclusión de este statement implica reclamación de cumplimiento con 910/2014. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 Anexo C | 422-qtsa-protocol | T07 | El TST debe identificarse con: Media Type `application/vnd.etsi.timestamp-token`, codificación binaria, sin parámetros, extensión de archivo `.tst` (RFC 6838). | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-01 | 521-qerds-policy | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §6.1 (Practice statement) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-02 | 521-qerds-policy | T08 | El conjunto de políticas y prácticas del ERDSP debe ser aprobado por la dirección, publicado y comunicado a empleados y terceros. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-03 | 521-qerds-policy | T08 | El ERDSP debe publicar un ERDS practice statement disponible públicamente describiendo prácticas y procedimientos del ERDSP y del ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-04 | 521-qerds-policy | T08 | Definir un proceso de revisión del practice statement con responsabilidades de mantenimiento y notificación de cambios. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-05 | 521-qerds-policy | T08 | El practice statement debe identificar las obligaciones de las organizaciones externas que apoyan la prestación del ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-06 | 521-qerds-policy | T08 | El practice statement debe especificar los medios para reportar modificaciones al user content antes de consignment/handover. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-07 | 521-qerds-policy | T08 | El practice statement debe describir cómo se identifican y autentican remitente y destinatario. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-08 | 521-qerds-policy | T08 | El practice statement debe describir cómo se asegura la transmisión contra pérdida, robo, daño o alteración no autorizada. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-09 | 521-qerds-policy | T08 | El practice statement debe incluir las obligaciones del remitente, destinatario y otras partes confiantes. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-10 | 521-qerds-policy | T08 | El practice statement debe enumerar los tipos de evento del proceso de delivery para los que el ERDS genera evidencias. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-11 | 521-qerds-policy | T08 | El practice statement debe explicar cómo obtener las evidencias relativas al manejo de los datos transmitidos. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-12 | 521-qerds-policy | T08 | El practice statement debe declarar cualquier limitación al periodo de validez de las evidencias. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-01 | 521-qerds-policy | T08 | El practice statement del QERDS debe declarar explícitamente que la política se ajusta al ERDS cualificado del Reglamento (UE) 910/2014. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-02 | 521-qerds-policy | T08 | El practice statement del QERDS debe incluir la lista completa de QTSPs implicados en la prestación (e.g. timestamping, certificados). | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-03 | 521-qerds-policy | T08 | El practice statement del QERDS debe declarar las limitaciones de uso del QERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-04 | 521-qerds-policy | T08 | El practice statement del QERDS debe declarar el periodo de retención de evidencias y, si aplica, modalidades de reversibilidad y portabilidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-05 | 521-qerds-policy | T08 | El practice statement del QERDS debe especificar las disposiciones de terminación del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-01 | 521-qerds-policy | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §6.2 (Terms and conditions) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-02 | 521-qerds-policy | T08 | Las T&C deben definir qué constituye una entrega de user content al destinatario. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-03 | 521-qerds-policy | T08 | Las T&C deben indicar si existe expiración de la disponibilidad para el destinatario y, en su caso, durante cuánto tiempo. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-04 | 521-qerds-policy | T08 | El ERDSP debe informar al cliente de las T&C antes de la relación contractual. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-05 | 521-qerds-policy | T08 | Las T&C deben comunicarse por un medio durable (con integridad temporal) y en forma legible por humanos. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-06 | 521-qerds-policy | T08 | Las T&C pueden transmitirse electrónicamente. | Recomendada | TBD | TBD | — | — |
| EN 319 521 §4.2-07 | 521-qerds-policy | T08 | El ERDSP debe disponer de evidencia de que el cliente ha aceptado las T&C. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.3-01 | 521-qerds-policy | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §6.3 (Information security policy) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.1-01 | 521-qerds-policy | T08 | El ERDS debe garantizar disponibilidad, integridad y confidencialidad del user content mientras lo maneja. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.1-02 | 521-qerds-policy | T08 | La confidencialidad de la identidad de remitente/destinatario debe protegerse, especialmente al intercambiarla con ellos o entre componentes distribuidos del ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.1-03 | 521-qerds-policy | T08 | La integridad del user content y sus metadatos asociados debe protegerse en transmisión y en almacenamiento. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.1-04 | 521-qerds-policy | T08 | Si el ERDS modifica el user content (e.g. conversión de formato), los cambios deben indicarse claramente al remitente, destinatario y terceros implicados. | Cond. (modificación de contenido) | TBD | TBD | — | — |
| EN 319 521 §5.1.2-01 | 521-qerds-policy | T08 | El user content QERDS debe protegerse mediante: (a) firma digital con certificado bajo política NCP de un QTSP; o (b) mecanismo técnico equivalente provisto por un QTSP que precluya alteración indetectable. | Obligatoria | TBD | TBD | — | — |