Gap analysis
Cargando…
Cargando…
| Control | Tema | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| EN 319 521 §4.1.1-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §6.1 (Practice statement) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-02 | T08 | El conjunto de políticas y prácticas del ERDSP debe ser aprobado por la dirección, publicado y comunicado a empleados y terceros. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-03 | T08 | El ERDSP debe publicar un ERDS practice statement disponible públicamente describiendo prácticas y procedimientos del ERDSP y del ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-04 | T08 | Definir un proceso de revisión del practice statement con responsabilidades de mantenimiento y notificación de cambios. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-05 | T08 | El practice statement debe identificar las obligaciones de las organizaciones externas que apoyan la prestación del ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-06 | T08 | El practice statement debe especificar los medios para reportar modificaciones al user content antes de consignment/handover. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-07 | T08 | El practice statement debe describir cómo se identifican y autentican remitente y destinatario. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-08 | T08 | El practice statement debe describir cómo se asegura la transmisión contra pérdida, robo, daño o alteración no autorizada. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-09 | T08 | El practice statement debe incluir las obligaciones del remitente, destinatario y otras partes confiantes. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-10 | T08 | El practice statement debe enumerar los tipos de evento del proceso de delivery para los que el ERDS genera evidencias. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-11 | T08 | El practice statement debe explicar cómo obtener las evidencias relativas al manejo de los datos transmitidos. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.1-12 | T08 | El practice statement debe declarar cualquier limitación al periodo de validez de las evidencias. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-01 | T08 | El practice statement del QERDS debe declarar explícitamente que la política se ajusta al ERDS cualificado del Reglamento (UE) 910/2014. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-02 | T08 | El practice statement del QERDS debe incluir la lista completa de QTSPs implicados en la prestación (e.g. timestamping, certificados). | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-03 | T08 | El practice statement del QERDS debe declarar las limitaciones de uso del QERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-04 | T08 | El practice statement del QERDS debe declarar el periodo de retención de evidencias y, si aplica, modalidades de reversibilidad y portabilidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.1.2-05 | T08 | El practice statement del QERDS debe especificar las disposiciones de terminación del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §6.2 (Terms and conditions) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-02 | T08 | Las T&C deben definir qué constituye una entrega de user content al destinatario. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-03 | T08 | Las T&C deben indicar si existe expiración de la disponibilidad para el destinatario y, en su caso, durante cuánto tiempo. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-04 | T08 | El ERDSP debe informar al cliente de las T&C antes de la relación contractual. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-05 | T08 | Las T&C deben comunicarse por un medio durable (con integridad temporal) y en forma legible por humanos. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.2-06 | T08 | Las T&C pueden transmitirse electrónicamente. | Recomendada | TBD | TBD | — | — |
| EN 319 521 §4.2-07 | T08 | El ERDSP debe disponer de evidencia de que el cliente ha aceptado las T&C. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §4.3-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §6.3 (Information security policy) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.1-01 | T08 | El ERDS debe garantizar disponibilidad, integridad y confidencialidad del user content mientras lo maneja. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.1-02 | T08 | La confidencialidad de la identidad de remitente/destinatario debe protegerse, especialmente al intercambiarla con ellos o entre componentes distribuidos del ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.1-03 | T08 | La integridad del user content y sus metadatos asociados debe protegerse en transmisión y en almacenamiento. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.1-04 | T08 | Si el ERDS modifica el user content (e.g. conversión de formato), los cambios deben indicarse claramente al remitente, destinatario y terceros implicados. | Cond. (modificación de contenido) | TBD | TBD | — | — |
| EN 319 521 §5.1.2-01 | T08 | El user content QERDS debe protegerse mediante: (a) firma digital con certificado bajo política NCP de un QTSP; o (b) mecanismo técnico equivalente provisto por un QTSP que precluya alteración indetectable. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.1.2-02 | T08 | Si aplica, el user content debe conservarse de forma segura para satisfacer requisitos legales. | Cond. (retención legal) | TBD | TBD | — | — |
| EN 319 521 §5.1.2-03 | T08 | Si la firma/mecanismo del §5.1.2-01 lo provee otro QTSP, el QERDSP debe verificar la firma digital o el resultado del mecanismo y comprobar que el QTSP sigue cualificado. | Cond. (QTSP externo) | TBD | TBD | — | — |
| EN 319 521 §5.2.1.1-01 | T08 | El QERDSP debe verificar la identidad de remitente y destinatario por presencia física, identificación electrónica eIDAS LoA substantial/high, certificado bajo política NCP, u otros métodos nacionales de fiabilidad equivalente confirmada por un CAB. | Cond. (alta remota) | TBD | TBD | — | — |
| EN 319 521 §5.2.1.1-02 | T08 | Si tras la verificación inicial el QERDSP no ha vinculado un medio de autenticación al usuario, debe re-verificar la identidad cada vez que se envíe o entregue user content. | Cond. (alta remota) | TBD | TBD | — | — |
| EN 319 521 §5.2.1.2-01 | T08 | El QERDSP solo debe entregar (handover) el user content al destinatario tras una identificación exitosa de éste. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.2.1.2-02 | T08 | Si la identificación del destinatario se basa en firma digital, la validación de firma debe preceder al handover. | Cond. (firma digital) | TBD | TBD | — | — |
| EN 319 521 §5.2.1.2-03 | T08 | Si la identificación del destinatario se basa en proceso interno del QERDS, el QERDSP debería conducir todo el proceso en entorno seguro y controlado. | Recomendada (condicional proceso interno) | TBD | TBD | — | — |
| EN 319 521 §5.2.1.2-04 | T08 | Si la identificación del destinatario se basa en proceso interno del QERDS, debe recopilarse y protegerse toda la evidencia de identificación y consignment/handover. | Cond. (proceso interno) | TBD | TBD | — | — |
| EN 319 521 §5.2.2-01 | T08 | El QERDSP debe autenticar al remitente conforme a su practice statement antes de la submission del user content. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.2.2-02 | T08 | El QERDSP debe autenticar al destinatario conforme a su practice statement antes del handover del user content. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.2.2-03 | T08 | Cuando el QERDSP vincula un medio de autenticación a una identidad verificada, debe ser: (a) MFA con LoA Substantial 1502/2015, LoA3 ISO 29115 o AAL2 NIST SP 800-63B; (b) TLS mutuo con cert NCP; (c) firma digital con cert NCP; o (d) medio equivalente. | Cond. (alta remota) | TBD | TBD | — | — |
| EN 319 521 §5.2.2-04 | T08 | Si remitente/destinatario se conecta por canal con autenticación M2M con certificados NCP, tras establecerlo puede usarse autenticación de un solo factor para una segunda fase si los procedimientos lo justifican. | Cond. (M2M) | TBD | TBD | — | — |
| EN 319 521 §5.2.2-05 | T08 | Si el QERDSP no provee medios de autenticación, debe re-verificar la identidad del remitente en cada submission y la del destinatario antes de cada consignment/handover. | Cond. (sin auth medio propio) | TBD | TBD | — | — |
| EN 319 521 §5.3.1-01 | T08 | La referencia temporal debe ser coherente con la definida en las T&C. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.3.2-01 | T08 | La fecha y hora de envío, recepción y cualquier cambio del user content del QERDS deben indicarse mediante un sello de tiempo electrónico cualificado (QTST). | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.3.2-02 | T08 | La proof of sending y la proof of receiving deben enlazarse al user content y sellarse temporalmente con QTST. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.3.2-03 | T08 | Si el QERDSP usa un servicio de QTST de tercero, debe comprobar regularmente que el proveedor del QTST sigue cualificado. | Cond. (QTST tercero) | TBD | TBD | — | — |
| EN 319 521 §5.4.1-01 | T08 | El ERDS debe poner a disposición del remitente la evidencia de consignment o handover (o ambas) del user content. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.4.1-02 | T08 | El ERDS debe generar evidencia de submission del user content por el remitente. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.4.1-03 | T08 | El ERDSP debe archivar al menos: datos de identificación y autenticación de usuarios, prueba de la verificación inicial de identidad del remitente, logs de operación e identidad, prueba de identificación del destinatario antes de consignment/handover, medios para probar no-modificación durante la transmisión, referencia o digest del user content, y los timestamp tokens correspondientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.4.1-04 | T08 | El ERDSP debe garantizar la confidencialidad, integridad y disponibilidad de los logs anteriores. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.4.1-05 | T08 | El ERDSP debe archivar la evidencia durante el periodo legal nacional aplicable a partir de la fecha de envío. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.4.1-06 | T08 | El ERDS puede generar evidencia disponible a las partes interesadas sobre eventos definidos en EN 319 522-1 §6. | Recomendada | TBD | TBD | — | — |
| EN 319 521 §5.4.1-07 | T08 | El ERDS debería archivar la evidencia y/o los digests de evidencia para cada evidencia que emite. | Recomendada | TBD | TBD | — | — |
| EN 319 521 §5.4.1-08 | T08 | La evidencia generada puede ajustarse a la semántica de evidencia definida en EN 319 522-2 §8. | Recomendada | TBD | TBD | — | — |
| EN 319 521 §5.4.2-01 | T08 | Todos los eventos de verificación inicial de identidad del remitente y autenticaciones posteriores deben quedar registrados (logged). | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.4.2-02 | T08 | Todos los eventos de verificación inicial de identidad del destinatario y autenticaciones posteriores deben quedar registrados. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.4.2-03 | T08 | Si se realiza, la información de la verificación inicial y posterior de identidad debe quedar registrada (tipos de documento, números, copias de solicitudes y firmas). | Cond. (alta remota) | TBD | TBD | — | — |
| EN 319 521 §5.5-01 | T08 | El ERDSP debe verificar que los servicios con los que interopera son al menos un ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.5-02 | T08 | El ERDSP debe autenticar a otros ERDSPs antes de retransmitirles user content o de aceptar user content retransmitido. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §5.5-03 | T08 | El ERDSP debe verificar que las comunicaciones están protegidas para asegurar integridad y confidencialidad del user content. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §6-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §5 (Risk Assessment) — ver matriz `401-general-tsp.md`. No hay controles QERDS específicos adicionales. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.1.1-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.1.1 (Organization reliability) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.1.2-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.1.2 (Segregation of duties) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.2.1-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.2 (Human resources) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.2.2-01 | T08 | El QERDSP debe nombrar un identity verification officer (responsable de verificación de identidad). | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.2.2-02 | T08 | El identity verification officer debe asegurar que los procesos efectivamente conducidos para verificar la identidad de remitente/destinatario cumplen con el proceso especificado. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.3.1-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.3.1 (Asset management) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.3.2-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.3.2 (Media handling) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.4-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.4 (Access control) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.5-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.5 (Cryptographic controls) — ver matriz `401-general-tsp.md`. (Aplica solo si el ERDSP genera certificados/claves o crea firma digital). | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-02 | T08 | Las claves de firma del ERDS deben mantenerse físicamente aisladas de las operaciones normales; solo personal designado de confianza puede acceder a ellas para firmar user content y/o evidencia. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-03 | T08 | La clave privada de firma del ERDS debe almacenarse y usarse dentro de un dispositivo criptográfico seguro. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-04 | T08 | La clave privada de firma del ERDS debe protegerse de modo equivalente al dispositivo criptográfico seguro. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-05 | T08 | El backup, almacenamiento y recuperación de la clave privada de firma se realizará por personal en roles de confianza, con dual control mínimo y en entorno físicamente seguro. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-06 | T08 | Las copias de la clave privada de firma del ERDS deben tener controles iguales o mayores que las claves en uso. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-07 | T08 | Si la clave privada del ERDS y sus copias se almacenan en un dispositivo criptográfico seguro dedicado, los controles de acceso deben evitar que las claves sean accesibles fuera de él. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-08 | T08 | El dispositivo criptográfico seguro no debe ser manipulado durante envío y almacenamiento. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-09 | T08 | El dispositivo criptográfico seguro debe funcionar correctamente. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.5-10 | T08 | La clave privada de firma del ERDS almacenada en el dispositivo criptográfico debe destruirse al retirar el dispositivo. | Cond. (firma propia) | TBD | TBD | — | — |
| EN 319 521 §7.6-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.6 (Physical and environmental security) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.6-02 | T08 | La política de seguridad física del ERDSP debe abordar control de acceso físico, desastres naturales, incendios, fallos de utilities, colapso estructural, fugas, antirrobo, intrusión y disaster recovery. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.6-03 | T08 | El ERDSP debe implementar controles para evitar la salida no autorizada off-site de equipos, información, medios y software del ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.6-04 | T08 | Implementar controles físicos y ambientales para proteger las instalaciones que alojan los recursos del sistema y los recursos mismos. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.6-05 | T08 | Las áreas compartidas con otras organizaciones deben quedar fuera del perímetro del sistema y comunicaciones del ERDS. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.6-06 | T08 | Cada acceso lógico debe registrarse (logged). | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.6-07 | T08 | Cada entrada al área físicamente segura debe estar bajo supervisión y registrada. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.6-08 | T08 | Las personas no autorizadas deben ser acompañadas por personal autorizado mientras estén en el área segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.7-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.7 (Operation security) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.8-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.8 (Network security) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.8-02 | T08 | El ERDSP debe monitorizar la demanda de capacidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.8-03 | T08 | Las proyecciones de capacidad futura deben asegurar potencia de cómputo y almacenamiento adecuados. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.8-04 | T08 | El ERDSP debe usar protocolos y algoritmos state-of-the-art para cifrado en capa de transporte. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.8-05 | T08 | El ERDSP debe usar certificados de autenticación de sitio web para TLS si los datos se envían fuera de la red interna. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.9-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.9 (Incident management) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.10-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.10 (Collection of evidence) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.10-02 | T08 | El ERDSP debe registrar (logear) los eventos relacionados con submission, consignment y handover del user content. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.10-03 | T08 | Todos los eventos de seguridad deben registrarse: cambios de política de seguridad, arranques/apagados, crashes, fallos de hardware, actividad de firewalls/routers e intentos de acceso al PKI. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.10-04 | T08 | El ERDSP debe definir el periodo de retención de los logs según legislación aplicable; nunca menos de 2 años. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.11-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.11 (Business continuity management) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.11-02 | T08 | Los sistemas de datos del ERDSP necesarios para reanudar operaciones deben respaldarse y guardarse en lugares seguros. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.11-03 | T08 | El ERDSP debe realizar copias de seguridad regulares de la información y software esenciales. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.11-04 | T08 | Las instalaciones de recovery deben permitir restaurar la información y software esenciales tras un desastre o fallo de medios. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.11-05 | T08 | Los acuerdos de recovery deben probarse regularmente para asegurar que cumplen los planes de continuidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.11-06 | T08 | Si el análisis de riesgo identifica información que requiere dual control, debe aplicarse dual control en el recovery (e.g. claves). | Cond. (riesgo) | TBD | TBD | — | — |
| EN 319 521 §7.11-07 | T08 | El plan de continuidad del ERDSP debe abordar el compromiso, pérdida o sospecha de compromiso de una clave privada del ERDSP como desastre, con procesos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.11-08 | T08 | Tras un desastre, el ERDSP debe tomar medidas, cuando sea practicable, para evitar su repetición. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.11-09 | T08 | En caso de compromiso de los servicios del ERDSP, debe notificarlo a clientes, partes confiantes y otras entidades con relación establecida; la información indicará que la evidencia emitida con la clave comprometida puede no ser válida desde el momento conocido del compromiso. | Cond. (compromiso) | TBD | TBD | — | — |
| EN 319 521 §7.11-10 | T08 | Si los algoritmos o parámetros usados se vuelven insuficientes, el ERDSP debe (a) informar a clientes y partes con relación establecida; y (b) asegurar el material evidencial existente con nuevos timestamps. | Cond. (algoritmos obsoletos) | TBD | TBD | — | — |
| EN 319 521 §7.12-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.12 (Termination plans) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.12-02 | T08 | El ERDSP debe conservar la evidencia recopilada durante el tiempo legal nacional aplicable, incluso tras la terminación. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.13-01 | T08 | EN 319 521 hereda en bloque los requisitos de EN 319 401 §7.13 (Compliance) — ver matriz `401-general-tsp.md`. | Obligatoria | TBD | TBD | — | — |
| EN 319 521 §7.13-02 | T08 | Cuando sea factible, los productos del ERDS y de usuario final deben ser accesibles para personas con discapacidad. | Recomendada | TBD | TBD | — | — |